Google и Microsoft открыли новый вариант атаки Spectre
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

Google и Microsoft открыли новый вариант атаки Spectre

Олег Иванов 22 Мая 2018 - 10:16
...
Google и Microsoft открыли новый вариант атаки Spectre

Специалисты компаний Google и Microsoft обнаружили новую уязвимость в процессорах AMD, ARM, IBM и Intel, которая позволяет совершить атаку типа Spectre. Слухи об этой бреши появились еще в начале месяца, однако только сейчас стали известны детали недостатка.

В свою очередь, AMD, ARM, Intel, Microsoft и Red Hat опубликовали официальные сообщения, в которых содержатся объяснения принципа работы багов, а также рассматриваются способы снижения риска эксплуатации.

Новая уязвимость получила имя SpectreNG, она, безусловно, связана с обнаруженными в начале этого года Meltdown и Spectre. Новую брешь исследователи Google и Microsoft обнаружили самостоятельно. Также два новых варианта атаки были классифицированы как «variant 3a» и «variant 4».

Полная классификация в хронологическом порядке:

  • Variant 1: обход проверки границы (CVE-2017-5753) она же Spectre v1;
  • Variant 2: инъекция в ветку (CVE-2017-5715) она же Spectre v2;
  • Variant 3: вредоносная загрузка кеша данных (CVE-2017-5754) она же Meltdown;
  • Variant 3a: злонамеренное считывание системного реестра (CVE-2018-3640);
  • Variant 4: обход спекулятивных ячеек памяти (CVE-2018-3639).

Самым грозным на данный момент специалисты считают Variant 4. Ошибка возникает из-за спекулятивного исполнения — функции, обнаруженной во всех современных процессорах. Эта функция позволяет повысить производительность за счет вычислений и последующего отказа от ненужных данных.

Red Hat опубликовала на YouTube видео, в котором объясняется, как ошибка влияет на современные процессоры.

«Успешно проэксплуатировавший эту брешь злоумышленник сможет читать данные, доступ к которым можно получить только с высокими привилегиями в системе», — пишет Microsoft по поводу этого бага.

Эксперт Google Дженн Хорн (Jann Horn), обнаруживший Meltdown и Spectre, опубликовал PoC-код, доказывающий наличие эксплуатируемой бреши. Корпорация Intel опубликовала подробный список затронутых процессоров.

Variant 4 можно использовать с помощью кода JavaScript, запускаемого в браузере, хотя Microsoft заявила, что в реальных атаках эксплуатация этого бага пока замечена не была.

Следующая главная новость »
AM LiveАтаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

В Госдуму внесли законопроект о цифровых правах россиян
Екатерина Быстрова 20 Апреля 2026 - 11:03
Соответствие законодательству РФ Общее
В Госдуму внесли законопроект о цифровых правах россиян

В Госдуму внесли новый законопроект о цифровых правах граждан. Речь идёт о документе № 1208651-8 «О государственных гарантиях цифровых прав граждан Российской Федерации», который был зарегистрирован 16 апреля 2026 года и сейчас находится на рассмотрении.

Авторы — группа депутатов Госдумы, а профильным назначен комитет по информационной политике, информационным технологиям и связи.

Инициатива предлагает закрепить на уровне закона базовые правила игры в цифровой среде. Например, право на доступ к интернету, свобода выражения мнений онлайн, защита персональных данных и право на анонимность в Сети. Авторы законопроекта прямо говорят, что хотят создать единую правовую основу для защиты цифровых прав граждан и ограничить возможности для их произвольного урезания.

Одна из самых заметных норм касается ограничения доступа к интернету. Авторы предлагают, чтобы такие меры применялись только по решению суда. Исключения тоже прописаны: это кибератаки или случаи, когда есть письменный акт спецслужб. Но даже тогда внесудебное ограничение не должно длиться дольше 48 часов.

Отдельно в документе закрепляется и право на анонимность в интернете. На фоне всё более жёстких дискуссий о цифровом контроле эта норма выглядит особенно заметно. По сути, депутаты предлагают не просто описать общие принципы, а оформить их как государственные гарантии, за нарушение которых должна работать отдельная система надзора и санкций. Об этом же говорится и в пояснительной записке к проекту.

Авторы инициативы считают, что принятие закона должно укрепить доверие граждан к цифровой среде, задать более понятные рамки для государства и платформ, а заодно защитить пользователей от слишком вольного расширения оснований для ограничений.

Другой вопрос — каков у этого проекта реальный политический путь.

AM LiveАтаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!
Чёрный рынок утечек данных в России схлопнулся из-за телеграм-ботов
Новость
Чёрный рынок утечек данных в России схлопнулся из-за телегра...
В сообществе Linux впервые появился план на случай ухода Линуса Торвальдса
Новость
В сообществе Linux впервые появился план на случай ухода Лин...
Массовые сбои Telegram в России связали с тестированием блокировки
Новость
Массовые сбои Telegram в России связали с тестированием блок...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.