Проблема заключается в технологии спекулятивного исполнения. В ходе этого процесса вычисления, которые в теории могут пригодиться ей в будущем, выполняются заранее. Таким образом работа процесса ускоряется. В случае если команда не требуется процессору, её выполнение прерывается, и состояние системы откатывается назад. Однако результаты вычислений остаются в кэше, и именно они могут стать целью взлома.
Специалисты из Google Project Zero, которые опубликовали исследование об уязвимостях, рассказали о двух типах возможных атак: Meltdown и Spectre.
С помощью Meltdown злоумышленники могут добраться до данных, которые хранятся в памяти операционной системы. Этому типу атаки могут быть подвержены практически все процессоры Intel, выпущенные начиная с 1995 года.
Spectre, в свою очередь, позволяет получить доступ к кэшу приложения. Такую атаку гораздо сложнее осуществить, однако при этом её труднее ликвидировать. Spectre затрагивает не только процессоры Intel, но также ARM и AMD. Все эти чипы используются в большинстве компьютеров и мобильных устройств.
Из-за уязвимостей злоумышленники могут прочитать важную информацию, например пароли или ключи шифрования, с помощью которых можно получить доступ к зашифрованным данным.
Проблемы безопасности были обнаружены независимыми группами исследователей еще полгода назад, однако детали уязвимости были обнародованы только 4 января 2018 года. В данный момент обновления выпущены для RHEL, CentOS и Fedora, Ubuntu (кроме некоторых дистрибутивов) и ожидается для Debian.
Важно! Если вы являетесь пользователем виртуального кобрендингового хостинга — никаких действий по обновлению ПО ОС от вас не требуется, изменения/обновления будут произведены автоматически, нашими партнёрами, однако, если вы являетесь пользователем VDS/VPS и/или выделенного сервера, рекомендуем вам к кратчайшие сроки, самостоятельно, применить вышеуказанные обновления к используемым на вашем сервере ОС.