Microsoft выпустила новые патчи для Spectre v2

Microsoft выпустила новые патчи для Spectre v2

Microsoft выпустила новые патчи для Spectre v2

Microsoft выпустила новый набор обновлений, призванный устранить уязвимость Spectre v2. Spectre v2 получила идентификатор CVE-2017-5715, представляет собой уязвимость инъекции, отличие этой бреши от первоначальных Meltdown и Spectre в том, что Spectre v2 требует патчинга микрокода для полного устранения проблемы.

Напомним, что Microsoft борется со страшными уязвимостями Meltdown и Spectre в процессорах Intel с января, постоянно выпуская новые наборы патчей.

Теперь техногигант выпустил набор обновлений 4078407, который нивелирует воздействие уязвимости Spectre v2 на все версии Windows 10 и Windows Server 2016.

Помимо этого, продвинутые пользователи могут сами бороться с Spectre v2 с помощью реестра Windows.

«Это обновление призвано устранить уязвимость Spectre Variant 2 (CVE-2017-5715), способную привести к успешной атаке на узлы», — пишет компания. — «Продвинутые пользователи могут сами попробовать устранить Spectre v2 путем правки реестра».

Далее Microsoft приводит ссылки на статьи, в которых описывается процесс устранения бреши:

Напомним, что корпорация Intel признала, что не будет устранять критически бреши в некоторых процессорах, так как избавиться от уязвимости класса Spectre v2 — слишком сложная задача. Об этом компания сообщила 2 апреля.

В опубликованных в начале месяца новых рекомендациях Intel добавила статус «stopped» к списку доступных обновлений безопасности, устраняющих Meltdown и Spectre. Этот статус свидетельствует о том, что патч для микрокода выпущен не будет.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Инженер Яндекса помог закрыть опасную уязвимость в Chromium

Инженер по информационной безопасности «Яндекса» нашёл и помог исправить серьёзную уязвимость в проекте Chromium — на его базе работают такие браузеры, как Google Chrome, Microsoft Edge и Яндекс Браузер.

Баг обнаружили в движке V8, который отвечает за работу JavaScript в браузере. Уязвимость могла стать частью сложных атак, позволяя злоумышленникам выполнять нежелательные действия через браузер.

Инженер «Яндекса» не только нашёл ошибку, но и предложил вариант исправления. Google включила его в обновление движка, выпущенное в сентябре.

Важно, что Яндекс Браузер уязвимости не содержал — там использовалась версия V8 без ошибки. Теперь в продукте будут доступны обновления с уже исправленным кодом.

В компании напоминают, что они регулярно выпускают патчи безопасности для браузера, не дожидаясь глобальных апдейтов Chromium. Это помогает быстрее закрывать потенциальные угрозы и защищать пользователей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru