Недавно исследователи обнаружили уязвимости безопасности, влияющие на устройства Apple, оснащенные процессорами M2 или A15, такие как iPhone, iPad, ноутбуки MacBook и настольные компьютеры Mac. Эти проблемы, известные как SLAP и FLOP, как показал Bleeping Computer, могут позволить потенциальным злоумышленникам получить доступ к информации из открытых вкладок вашего веб-браузера. В зависимости от открытых вами веб-сайтов, это может потенциально подвергнуть конфиденциальные данные, такие как пароли и банковские реквизиты, возможной краже.
Вместо того, чтобы быть проблемой программного обеспечения, это на самом деле аппаратный сбой, который влияет на ЦП, делая их уязвимыми для атак по сторонним каналам. Эти типы уязвимостей отслеживают активность ЦП и собирают информацию о поведении пользователя, используя такие факторы, как энергопотребление, временные задержки и звуковые шаблоны. Такие инциденты, как Spectre и Meltdown 2018 года, работали аналогичным образом.
По сути, то, что здесь обсуждается, является сложной проблемой. Однако суть заключается в понимании того, что это позволяет неавторизованным лицам получать доступ к конфиденциальным данным, несмотря на то, что такая информация надежно защищена программным обеспечением, работающим на вашем компьютере. Это не просто проблема, специфичная для Apple; скорее, это стратегия, используемая для повышения производительности большинства современных процессоров.
Проще говоря, компьютерные программы состоят из последовательного набора команд, которым следует центральный процессор (ЦП). Из-за многочисленных возможных результатов эти инструкции разветвляются в различных направлениях. Это можно сравнить со сценариями принятия решений, такими как «Если условие A истинно, выполнить действие X» или «Если произошло событие B, выполнить действие Y». В сложной программе бесчисленное множество таких решений принимается для того, чтобы программа эффективно продвигалась.
Для повышения эффективности в наши дни принято предугадывать будущие действия ЦП и начинать выполнять инструкции заранее. Это позволяет выполнять несколько задач одновременно, в отличие от того, чтобы каждая инструкция ждала своей очереди в правильной последовательности.
Эта техника, известная как спекулятивное выполнение или угадывание ветвей, часто опирается на предположения и не всегда может быть точной. Именно когда эти предположения оказываются неверными, мы сталкиваемся с аппаратными уязвимостями, которыми могут воспользоваться недобросовестные пользователи.
Названия недавно обнаруженных проблем — «Атаки спекуляции данных с использованием прогнозирования адреса загрузки на Apple Silicon (SLAP)» и «Взлом ЦП через ложные прогнозы выходных данных загрузки на Apple M3 (FLOP)». По сути, эти проблемы похожи, но в то время как SLAP влияет только на браузер Safari, FLOP может эксплуатироваться и в Chrome.
Исследование показывает, что атаки, использующие эти уязвимости, теоретически возможны, однако в настоящее время неизвестно ни об одном хакере-преступнике, который бы их использовал. Исследователи раскрыли свои выводы Apple в прошлом году, и компания признала и пообещала решить проблемы. Однако с тех пор никаких официальных заявлений от Apple по этому поводу не поступало, а их последний комментарий был следующим: [ответ Apple]
Давайте выразим нашу благодарность исследовательскому сообществу за их ценное сотрудничество в углублении наших знаний о таких угрозах посредством этого доказательства концепции. Из нашего исследования следует, что этот вопрос в настоящее время не представляет значительной или непосредственной опасности для нашей пользовательской базы.
Хотя эти атаки не содержат традиционных вредоносных компонентов, они часто начинаются с опасной веб-страницы. Чтобы минимизировать риск до тех пор, пока не будут внедрены обновления безопасности, будьте бдительны и не нажимайте на сомнительные ссылки или URL-адреса во время навигации в Интернете.
Смотрите также
- Элемент акции прогноз. Цена ELMT
- Нападение на Саифа Али Хана: 5 поразительных разоблачений, сделанных полицией Мумбаи после ареста подозреваемого по делу о нанесении ножевого ранения
- Нападение на Саифа Али Хана: главный обвиняемый сознается в преступлении после ареста; узнать, где он работал
- Нападение на Саифа Али Кхана: партнерша по фильму «Хум Тум» Рани Мукерджи приезжает в больницу Лилавати, чтобы проверить здоровье актера; СМОТРЕТЬ
- Bollywood Newswrap, 25 января: Шахид Капур рад, что у Саифа Али Кхана «все хорошо»; создатели фильма «Чхаава» с Вики Каушалом в главной роли предложили проконсультироваться с историками
- «Полный дом 5»: Акшай Кумар и Жаклин Фернандес объединятся в комической игре? ОТЧЕТ
- Годовщина свадьбы Дипики Падуконе и Ранвира Сингха: 5 трогательных вех в их родительском путешествии с дочерью Дуа
- Шах Рукх Кхан и Ранвир Сингх «прыгали от радости и танцевали» на свадьбе Ананта Амбани и Радхики Мерчант, вспоминает Кайлаш Кхер.
- Карина Капур Кхан: фильмы на Netflix
- ЭКСКЛЮЗИВ: Режиссер Шива дает разъяснения по поводу второго трейлера «Кангувы» Сурии; Разделяет заблокированное время выполнения мистического
2025-01-29 22:27