+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Intel виплатила дослідникам суму у розмірі $100 тис у рамках програми винагороди за знайдені вразливості

Intel виплатила дослідникам суму у розмірі $100 тис у рамках програми винагороди за знайдені вразливості

У процесорах Intel виявлено нові варіанти вразливості Spectre v1

Intel виплатила дослідникам $100 тис. за інформацію про проблеми.

Фахівці Володимир Кіріанський та Карл Валдспургер (Carl Waldspurger) виявили нові варіанти вразливості Spectre v1 (CVE-2017-5753) - Spectre 1.1 (CVE-2018-3693) та Spectre 1.2. Найбільшою небезпекою є Spectre 1.1, яку дослідники описали як вразливість «обходу перевірки меж сховища» (bounds check bypass store, BCBS).

За допомогою вразливостей шкідливий код, що вже присутній на комп'ютері з процесором Intel, теоретично може вилучати паролі, криптографічні ключі та іншу важливу інформацію з інших програм, що працюють на пристрої. Незважаючи на наявність слова «сховище» в назві атаки, насправді дані в пам'яті не модифікуються. Під час атаки відбувається перезапис покажчиків функцій та адрес повернення, що дозволяє шкідливому коду змінити пріоритет процесів CPU і визначити вміст пам'яті, який за ідеєю має бути недоступним. Це можна зробити шляхом перезапису змінних та інших тимчасових значень або змусивши процесор виконувати більше ітерацій циклу, ніж очікувалося, тим самим викликавши переповнення буфера. Більше того, навіть доступна тільки для читання пам'ять може бути перезаписана для подальшого виконання атаки сторонніми каналами та вилучення даних.

Окрім Intel, попередження про вразливість також опублікували ARM та Microsoft. Компанія AMD поки не публікувала коментарів з цього питання.

У рамках програми винагороди за знайдені вразливості Intel виплатила дослідникам суму в розмірі $100 тис. Після широкого резонансу, викликаного повідомленнями про вразливості класу Spectre і Meltdown, Intel запустила програму bug bounty, що передбачає нагороду до $250 тис. за експлоїти. Meltdown та Spectre.

 

Інші новини

Найкраща ціна