Security Week 2211: новый вариант Spectre

Исследования об уязвимостях Spectre и Meltdown были опубликованы в январе 2018 года. С тех пор появилось множество работ, развивающих общую идею использовать механизм предсказания ветвлений в процессоре (или других аппаратных особенностей) для выполнения произвольного кода и кражи секретов. Подтвердилась теоретическая возможность удаленной эксплуатации, нашлись варианты эксплуатации для процессоров всех крупных производителей. Эти многочисленные проблемы решали как в софте, так и в новом железе.



Свежая работа исследователей из Амстердамского свободного университета (описание и FAQ, исходник в PDF) показывает новый вариант атаки Spectre v2, который позволяет обойти как программные заплатки, так и аппаратные. Несущественная, но любопытная деталь данного исследования: компания Intel признала наличие проблемы в собственных процессорах и присвоила соответствующим уязвимостям красивые номера CVE-2022-0001 и CVE-2022-0002.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Как один опытный разработчик за три дня потерял аккаунт в Телеграме, а второй чуть не перевел «другу» 100 тысяч рублей
• Обзор K8s LAN Party —  сборника задач по поиску уязвимостей в кластере Kubernetes прямо в браузере
• [Перевод] Настройка Kerberos аутентификации в OpenAM
• Исследование веб-приложений с помощью утилиты Ffuf
• Кирилл Лейцихович: «Исследования: проще лежать в гробу, чем вести презентацию»
• Егор Некрасов: 3 отмазки, которые мешают начать развивать личный бренд. И как я с ними справился
• Appbooster: Что повлияет на ASO для App Store в 2024 году: тренды, тенденции, ожидаемые новости
• Вебиум: Тикток против литературы: что предпочитают подростки
• Как внедрить двухфакторную аутентификацию в веб-приложения, не предусматривающие ее изначально
• Ландшафт угроз информационной безопасности последних лет. Часть 1