Обнаружены 7 новых вариантов атак Meltdown и Spectre на процессоры

Олег Иванов 15 Ноября 2018 - 16:04

...

Обнаружены 7 новых вариантов атак Meltdown и Spectre на процессоры

Команда из девяти специалистов обнаружила семь новых векторов для CPU-атак. Все три проблемы затрагивают процессоры AMD, ARM и Intel. Две из них являются вариациями Meltdown, остальные пять — вариациями оригинальной Spectre.

На новые уязвимости эксперты наткнулись в процессе тестирования безопасности механизма спекулятивного выполнения — функции, которой оснащен любой современный процессор. По словам команды исследователей, им удалось создать код proof-of-concept и продемонстрировать наличие проблем безопасности.

В ходе своего тестирования эксперты также пытались доказать существование еще шести других Meltdown-брешей. Однако им это не удалось, согласно опубликованной инфографике:

Однако были выявлены две новые уязвимости типа Meltdown, которые могут позволить атакующему получить доступ к памяти и данным других приложений. Первая атака — Meltdown-PK — затрагивает только процессоры от Intel.

Благодаря ей злоумышленник может обойти ограничения, установленные с помощью ключей защиты памяти (PKU, Protection Keys for Userspace).

Вторая — Meltdown-BR — угрожает как процессорам Intel, так и CPU от AMD. Проблема связана с инструкциями проверки границ, которые могут допустить утечку после спекулятивного выполнения.

Что касается проблем касса Spectre, три из них используют таблицу с историей шаблонов переходов — Spectre-PHT-CA-OP, Spectre-PHT-CA-IP и Spectre-PHT-SA-OP. Из них Spectre-PHT-CA-OP поможет получить доступ к произвольным областям памяти. Подвержены процессоры AMD, ARM и Intel.

Оставшиеся две — Spectre-BTB-SA-IP, Spectre-BTB-SA-OP — представляют собой относительно новые вариации атак на буфер предсказания ветвления. Затронуты процессоры AMD, ARM и Intel. Эти бреши позволяют атакующему получит доступ к памяти приложений одного уровня.

С полным исследованием специалистов можно ознакомиться по этой ссылке (PDF).

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Мая 2026 - 16:14

Атаки на сайты DDoS-атаки Соответствие законодательству РФ Домашние пользователи Малый и средний бизнес

DDoS, убытки и суд: почему хостинг не всегда отвечает за атаки

Российская судебная практика по спорам между владельцами сайтов и хостинг-провайдерами пока только складывается. Но интерес к таким делам быстро растёт: кибератак становится больше, сайты падают чаще, а бизнес всё чаще хочет понять, кто должен отвечать за простой и потерянные данные.

Одним из показательных стало дело казанской туристической компании «Саната» против хостинг-провайдера Timeweb, о котором пишет «Коммерсантъ».

«Саната» разместила свои сайты у Timeweb ещё в 2018 году. В апреле 2023 года сервис онлайн-бронирования перестал нормально работать после DDoS-атаки. По словам компании, часть данных была утеряна, а сам сбой привёл к убыткам и упущенной выгоде. В итоге с провайдера попытались взыскать почти 5,3 млн рублей.

Сначала суд встал на сторону клиента. Первая инстанция решила, что провайдер должен был обеспечить защиту от DDoS-атак, фильтрацию трафика и устойчивость инфраструктуры. Также суд учёл, что после восстановления сайт ещё долго работал неполноценно.

Но затем ситуация закрутилась иначе. В октябре 2025 года апелляция отменила решение и поддержала Timeweb. Суд указал, что по договору базовый хостинг не включал хранение данных и защиту от кибератак. Саму DDoS-атаку расценили как вмешательство третьих лиц, а сайт, по материалам дела, возобновил работу уже через неделю после инцидента. В марте 2026 года эту позицию поддержала кассация.

Юристы делают из этой истории вывод: всё решает договор. Если защита от DDoS, резервное копирование, восстановление после сбоев и гарантии доступности не прописаны отдельно в SLA, рассчитывать на автоматическую ответственность хостинга будет сложно.

Сейчас российские суды чаще склоняются в пользу провайдеров, потому что их ответственность обычно ограничена условиями контракта. Клиенту при этом нужно доказать не только сам факт сбоя, но и прямую связь между действиями или бездействием провайдера и своими убытками.

За рубежом, как отмечают эксперты, подход постепенно меняется: если поставщик услуг игнорирует базовые стандарты кибербезопасности, его могут признать ответственным за ущерб клиентов. Не исключено, что со временем похожая логика начнёт развиваться и в России.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!