Ang industriya ng tech ay nakikipag-agawan upang ayusin (o hindi bababa sa pagaanin) ang dalawang bagong mga kahinaan na natuklasan ng mga mananaliksik sa seguridad sa pagtatapos ng 2017. Matunaw at Spectrum ay gumagawa ng mga headline sa buong mundo, at para sa magandang kadahilanan - ang dalawang mga bahid ay nakakaapekto sa halos bawat aparato na pinalakas ng isang Intel, AMD o ARM processor na ginawa sa nakaraang 20 taon.
Ang mga kahinaan na ito ay maaaring makaapekto sa mga smartphone, desktop, laptop, cloud server, at magpapatuloy ang listahan. Tandaan na hindi ito isang eksklusibong problema sa Microsoft - lahat ng iba pang mga vendor ng operating system ay apektado.
Ano ang Meltdown at Spectre?
Tinawag Matunaw at Spectrum , ang dalawang kahinaan ay ginagawang posible para sa isang magsasalakay na samantalahin ang mga kritikal na kahinaan sa mga modernong tagaproseso upang makakuha ng pag-access sa protektadong memorya ng kernel . Gamit ang tamang hanay ng kasanayan, ang isang hacker ay maaaring pagsamantalahan ang mga ito upang ikompromiso ang pribilehiyong memorya ng isang processor at magpatakbo ng isang nakakahamak na code upang ma-access ang labis na sensitibong nilalaman ng memorya mula rito. Ang nilalaman ng memorya na ito ay maaaring maglaman ng mga password, keystroke, personal na data at iba pang mahalagang impormasyon.
Ipinapakita ng hanay ng mga kahinaan na posible na mag-bypass matugunan ang paghihiwalay ng puwang - ang pundasyon ng integridad ng processor mula pa noong 1980. Hanggang ngayon, matugunan ang paghihiwalay ng puwang ay itinuturing na isang ligtas na mekanismo ng paghihiwalay sa pagitan ng mga aplikasyon ng gumagamit at ng operating system at sa pagitan ng dalawang mga application.
Ang lahat ng mga modernong CPU ay gumagamit ng isang serye ng mga pangunahing proseso upang makatulong na mapabilis ang mga kahilingan. Matunaw at Spectrum samantalahin ang tiyempo ng iba't ibang mga tagubilin upang kumuha ng sensitibo o personal na impormasyon. Habang tinukoy ng mga eksperto sa seguridad na ang Spectre ay mas mahirap na pagsamantalahan kaysa sa Meltdown, lumalabas na maaari itong magawa nang higit na pinsala kaysa sa Meltdown.
Paano ito nakakaapekto sa iyo?
Habang Matunaw dumadaan sa paghihiwalay sa pagitan ng mga aplikasyon ng gumagamit at ng OS, Spectrum luha ang paghihiwalay sa pagitan ng dalawang magkakaibang mga application. Marahil ang pinaka-nag-aalala na bagay tungkol sa Spectre ay na ang mga hacker ay hindi na kailangang makahanap ng isang kahinaan sa loob ng programa - posible nang teoretikal na linlangin ang mga programa na sumusunod sa pinakamahusay na kasanayan sa pagtagas ng sensitibong impormasyon, kahit na nagpapatakbo sila ng isang solidong tindahan ng seguridad.
Kung magiging ganap tayong pesimista tungkol sa banta sa seguridad, walang aplikasyon na maaaring ituring na 100% na ligtas na. Bagaman walang kumpirmadong mga pag-atake na gumagamit ng Spectre at Meltdown, ang mga pagkakataon na ang mga black hacker ng sumbrero ay nagmumuni-muni na kung paano makuha ang kanilang mga kamay sa iyong data sa pamamagitan ng pagsasamantala sa mga kahinaan na ito.
Mga patch ng seguridad
Sa kasamaang palad, ito ay isang kapintasan sa antas ng seguridad na chip na hindi maaaring ganap na maayos sa isang pag-update ng software. Dahil nangangailangan ito ng pagbabago sa OS kernel, ang tanging permanenteng pag-aayos na tatanggalin nang ganap ang mga paglabag ay isang muling disenyo ng arkitektura (sa madaling salita, pinapalitan ang CPU). Naiwan ang malalaking manlalaro sa industriya ng tech na may kaunting mga pagpipilian. Dahil hindi nila mapapalitan ang CPU ng lahat ng dati nang inilabas na mga aparato, ang kanilang pinakamahusay na pag-asa ay upang mabawasan ang panganib hangga't maaari sa pamamagitan ng mga patch ng seguridad.
Ang lahat ng mga vendor ng operating system ay naglabas (o ilalabas) mga security patch upang matugunan ang mga pagkukulang. Gayunpaman, ang pag-aayos ay nagmumula sa isang presyo - inaasahan na mababagal ng mga patch ng seguridad ang lahat ng apektadong aparato saanman sa pagitan ng 5 at 30 porsyento dahil sa pangunahing mga pagbabago sa kung paano hawakan ng memorya ng kernel ang memorya.
Bihira na ang lahat ng malalaking manlalaro ay nagkakasama sa pagtatangkang ayusin ang mga bahid na ito, ngunit mahusay din itong tagapagpahiwatig kung gaano talaga kaseryoso ang isyu. Nang walang labis na panicking, mahusay na kasanayan na pagmasdan ang mga update sa seguridad at tiyaking inaalok mo sa iyong aparato ang pinakamahusay na proteksyon na magagawa mo laban sa mga kahinaan na ito. Upang matulungan ka sa pakikipagsapalaran na ito, pinagsama-sama namin ang isang listahan ng mga pag-aayos laban sa dalawang mga bahid sa seguridad.
Paano maprotektahan laban sa mga pagkukulang ng seguridad ng Meltdown at Spectre ng CPU
Sa ibaba makikita mo ang isang listahan ng mga paraan upang maprotektahan ang iyong sarili laban sa mga kahinaan ng Meltdown at Spectre. Ang gabay ay nahahati sa isang serye ng mga sub-pamagat na may pinakatanyag na hanay ng mga aparato na apektado ng mga kahinaan na ito. Mangyaring sundin ang patnubay na naaangkop sa iyong aparato at tiyaking muling bisitahin ang link na ito, dahil ia-update namin ang artikulo sa mga bagong pag-aayos sa paglabas nito.
Tandaan: Tandaan na ang mga hakbang sa ibaba ay higit na mabisa laban sa Meltdown, na siyang pinaka-agarang banta sa dalawang depekto sa seguridad. Ang Spectre ay pa rin isang malaking hindi alam, ngunit inilalagay ito ng mga mananaliksik sa seguridad sa pangalawa sa kanilang listahan dahil mas mahirap itong samantalahin kaysa sa Meltdown.
Paano ayusin ang mga pagkukulang ng seguridad ng Spectre at Meltdown sa Windows
Mayroong tatlong pangunahing mga kinakailangan na kailangang matugunan upang masiguro ang maximum na proteksyon laban sa mga bagong depekto sa seguridad sa Windows - pag-update ng OS, pag-update ng browser, at pag-update ng firmware. Mula sa average na pananaw ng gumagamit ng Windows, ang pinakamagandang bagay na gagawin ngayon ay upang matiyak na mayroon kang pinakabagong pag-update sa Windows 10 at tiyakin na mag-surf ka sa web mula sa isang na-patch na web browser.
Naglabas na ang Microsoft ng isang security security patch WU (Update sa Windows). Gayunpaman, tila ang pag-update ay hindi nakikita sa ilang mga PC dahil sa mga third-party na mga antivirus suite na pumipigil sa mga pagbabago sa kernel. Ang mga eksperto sa seguridad ay nagtatrabaho sa isang listahan ng mga sinusuportahang programa ng antivirus, ngunit ang mga bagay ay nahati, upang masabi lang.
Kung hindi ka pa nasenyasan na awtomatikong mag-update, buksan ang isang Run window ( Windows key + R ), i-type ang ' control update ” at tumama Pasok . Nasa Pag-update sa Windows screen, mag-click sa Suriin ang mga update at mai-install ang bagong update sa seguridad kung na-prompt.
Nagbigay din ang Microsoft ng mga manu-manong link sa pag-download upang talakayin ang isyung ito para sa Windows 7, Windows 8.1 at Windows 10:
- Windows 7 SP1
- Windows 8.1
- Windows 10
Tandaan: Naglalaman ang mga link sa itaas ng maraming mga pakete ng pag-update ayon sa iba't ibang mga arkitektura ng CPU. Mangyaring mag-download ng isang patch na nalalapat sa iyong pagsasaayos ng PC.
Gayunpaman, ang pagprotekta sa iyong Windows PC laban sa Spectre at Meltdown ay medyo mas kumplikado kaysa sa pag-download ng isang patch ng seguridad ng Microsoft. Ang pangalawang linya ng depensa ay mga security patch para sa web browser na iyong ginagamit.
- Firefox nagsasama na ng pag-aayos na nagsisimula sa bersyon 57.
- Edge at Internet Explorer para sa Windows 10 nakatanggap na ng mga patch ng seguridad na naglalayong magbantay laban sa mga kahinaan na ito.
- Chrome ay nag-anunsyo ng isang patch ng seguridad na naka-iskedyul na mailabas sa Enero 23.
Inatasan ang mga gumagamit na tanggapin ang anumang awtomatikong pag-update upang matiyak ang proteksyon sa antas ng browser. Kung wala kang pinakabagong bersyon ng browser o ang pag-update ay hindi awtomatikong nag-install, i-uninstall ito at i-download ang pinakabagong bersyon.
Sa isang hiwalay na avenue, ang mga gumagawa ng chip (Intel, AMD, at ARM) ay gumagana sa mga pag-update ng firmware para sa karagdagang proteksyon sa hardware. Malamang, ang mga iyon ay ibinahagi nang magkahiwalay ng mga pag-update ng firmware ng OEM. Gayunpaman, nagsisimula pa lamang ang trabaho, kaya't maaaring maging isang sandali hanggang sa makita namin ang pagdating ng mga pag-update ng firmware sa aming mga aparato. Dahil nasa sa mga OEM ang maglabas ng mga update sa firmware, sulit na suriin sa website ng suporta ng OEM ng iyong PC para sa anumang balita na may potensyal na ayusin.
Mayroong pag-uusap na ang Microsoft ay nagpapares sa mga gumagawa ng CPU upang lumikha ng isang tool na susuriin para sa proteksyon para sa parehong mga pag-update ng firmware at Windows. Ngunit hanggang sa oras na iyon, kailangan naming manu-manong suriin para sa ating sarili.
Paano ayusin ang mga pagkukulang sa seguridad ng Spectre at Meltdown sa Android
Ang mga aparatong Android ay apektado rin ng mga kahinaan ng Spectre at Meltdown. Sa gayon, hindi bababa sa teorya. Ito ay isang koponan sa pagsasaliksik ng Google na natuklasan ang mga kahinaan at inabisuhan ang mga chipmaker (bago pa man mahuli ito ng press). Nangyari ito 6 na buwan bago maganap ang pinag-ugnay na pagsisiwalat, kaya maaaring isipin na ang pagka-antala na ito ay pinagana ang Google na maging mas handa kaysa sa kumpetisyon.
Simula sa Enero 5, nagsimula ang Google sa pamamahagi ng a bagong update sa seguridad para sa Android upang maprotektahan laban sa Meltdown at Spectre. Ngunit dahil sa pinaghiwalay na likas na katangian ng Android domain, malamang na hindi mo ito makuha sa lalong madaling nais mo. Naturally, ang mga teleponong may tatak ng Google tulad ng Nexus at Pixel ay may prioridad at nakuha itong halos agad na OTA.
Kung nagmamay-ari ka ng isang Android phone mula sa ibang tagagawa bukod sa Google, maaari kang mahintay nang mahabang panahon. Gayunpaman, dahil sa pansin ng press na nakukuha ng Meltdown at Spectre, maaari nilang mapabilis ang proseso nang malaki.
Ngunit anuman ang iyong tagagawa sa Android, pumunta sa Mga setting at tingnan kung mayroon kang isang bagong update na nakabinbin. Kung hindi, magsagawa ng isang pagsisiyasat sa online upang makita kung ang iyong tagagawa ng telepono ay nagpaplano na maglabas ng pag-aayos anumang oras sa lalong madaling panahon.
Paano Ayusin ang Spectre at Meltdown na mga kapintasan sa seguridad ios
Tiyak na nahuli ang Apple kapag ang dalawang kahinaan ay isiniwalat namin. Habang ang kumpanya ay paunang tinanggihan na ang alinman sa kanilang mga aparato ay apektado ng Meltdown at Spectre, mula nang dumating sila aminin na ang pagkakamali ay nakakaapekto sa lahat ng mga iPhone . Dahil mayroon silang halos magkatulad na arkitektura ng CPU, ang mga iPad at iPod ay pantay na apektado ng mga depekto sa seguridad.
Inanunsyo ng Apple na sinimulan nito ang 'mga pamamaraang pagpapagaan' para sa Meltdown sa iOS 11.2, ngunit walang petsa ng paglabas para sa pag-aayos sa mga mas lumang bersyon na inihayag. Mukhang ang susunod na pag-update ay naglalayong i-plug ang potensyal na pagsasamantala ng Javascript sa Safari.
Habang naghihintay ka para sa isang opisyal na pahayag ng Apple, abangan ang anumang mga bagong update para sa iyong iPhone, iPad o iPod. Pumunta sa Mga setting> Pangkalahatan> Pag-update ng software at mai-install ang anumang pag-update na nakabinbin.
Paano ayusin ang mga pagkukulang ng seguridad ng Spectre at Meltdown sa mga Mac
Kahit na sa una ay masikip ang Apple tungkol sa problema, ang mga Mac ay apektado rin ng Meltdown at Spectre. Bilang ito ay naging, halos lahat ng mga produkto ng Apple (bukod sa Apple Watches) ay apektado.
Ang kumpanya ay naglabas na ng isang serye ng mga pag-aayos na idinisenyo upang mabawasan ang isyu simula sa bersyon ng macOS 10.13.2 , at isang nangungunang CEO na nakumpirma na ang maraming pag-aayos ay paparating na. Mayroon ding paparating na pag-update sa browser ng Safari sa parehong macOS at iOS na naiulat na idinisenyo upang mapagaan ang isang potensyal na pagsasamantala sa Javascript.
Hanggang sa dumating ang mga bagong pag-aayos, masigasig na ilapat ang anumang pag-update mula sa App Store para sa iyong OS X o macOS at tiyaking nasa pinakabagong bersyon ka na posible.
Paano Ayusin ang Spectre at Meltdown na mga kapintasan sa seguridad Chrome OS
Ang mga Chromebook ay lilitaw na mga aparato na may pinakamatibay na layer ng proteksyon laban sa Meltdown at Spectre. Inanunsyo ng Google na ang lahat ng mga kasalukuyang Chromebook ay dapat na awtomatikong protektahan laban sa mga bagong banta sa seguridad. Anumang Chromebook na tumatakbo Bersyon ng Chrome OS 63 (inilabas noong Disyembre) ay dapat mayroon nang kinakailangang mga pag-aayos ng seguridad.
Upang matiyak na protektado ka, tiyaking mayroon kang pinakabagong pag-update para sa Chrome OS. Karamihan sa mga gumagamit ay nasa bersyon 63 na, ngunit kung hindi ka, mag-update kaagad.
Kung nais mong makakuha ng mas maraming teknikal, maaari kang mag-type ' chrome: // gpu ” sa iyong Omnibar at pindutin Pasok . Pagkatapos, gamitin Ctrl + F upang maghanap para sa “ operating system ”Papayagan ka nitong makita ang iyong bersyon ng Kernel. Mga bersyon ng Kernel 3.18 at 4.4 ay na-patch na para sa mga kapintasan sa seguridad.
