Теги → заплатка
Быстрый переход

Защита от Spectre в Chrome требует повышенного потребления памяти

Meltdown, Spectre и подобные им критические уязвимости современных центральных процессоров будут иметь негативные последствия для всей компьютерной отрасли ещё долгие годы. Например, в 67-й версии Google Chrome для всех пользователей была включена защита от ошибки Spectre «Изоляция сайта», в результате чего веб-обозреватель стал потреблять на 10–13 % больше оперативной памяти.

Заплатка заставляет Chome создавать больше процессов визуализации. Каждый такой процесс стал более коротким и вызывает меньше внутренних конфликтов, но из-за увеличения их числа происходит перерасход памяти. Это заметный удар по эффективности браузера, и без того имевшего повышенный аппетит к памяти. Путём эксплуатации уязвимостей в алгоритмах предсказания ветвлений Spectre позволяет злоумышленникам получать доступ к защищенной информации в кеш-памяти процессора, что может привести к утечке таких чувствительных для безопасности данных, как пароли, ключи шифрования или информация личного характера.

«Изоляция сайта — крупное изменение в работе Chrome, которое ограничивает каждый процесс визуализации материалами с одного сайта. …Это означает, что даже если атака Spectre будет осуществлена на вредоносном сайте, данные с других открытых сайтов, при общих условиях, не будут загружаться в тот же процесс, и поэтому злоумышленникам будет доступно меньше информации. Это существенно снижает угрозу Spectre», — пояснил Чарли Рейс (Charlie Reis) из Google.

Защита «Изоляция сайта» была доступна в качестве экспериментальной функции с 63-й версии, выпущенной вскоре после раскрытия уязвимостей Meltdown и Spectre, а теперь она активирована у 99 % пользователей Chrome на всех платформах. Команда разработчиков продолжает усердно работать над оптимальным компромиссом между быстродействием и безопасностью.

Возможность обезопасить компьютер от утечек информации дорого стоит, и подобные заплатки в конечном счёте затронут очень многие аспекты. Причём чем выше требования к конфиденциальности, тем больший урон производительности можно ожидать в современных и, особенно, более старых поколениях процессоров.

Заплатка Windows 7 против Meltdown открывает опасную уязвимость

Январские и февральские исправления Microsoft остановили ошибку Meltdown, которая позволяла с помощью изощрённых методов получать пароли из защищённой памяти. Однако исследователь безопасности Ульф Фриск (Ulf Frisk) обнаружил, что исправления открыли гораздо худшую ошибку ядра, которая позволяет любому процессу читать и записывать в любое место памяти ядра.

По словам специалиста, проблема затрагивает только 64-битные операционные системы Windows 7 x64 и Windows Server 2008 R2. Он утверждает, что две заплатки ошибочно устанавливали бит в трансляторе виртуальной-физической памяти, известном как PLM4 (карта страниц четвёртого уровня), что в итоге позволяет пользовательскому приложению обращаться к таблицам страниц ядра.

Модуль управления памятью процессора (MMU) Intel использует эту базу 4-уровневой иерархии таблиц страниц для трансляции виртуального адреса процесса в адрес физической памяти ОЗУ. Правильно установленный бит обычно гарантирует, что ядро имеет эксклюзивный доступ к этим таблицам — в обычных условиях пользователю они недоступны.

В результате, по словам господина Фриска, ошибка делает предельно лёгкой задачу доступа к физической памяти, поскольку в Windows 7 таблица страниц PML4 находится на фиксированном адресе памяти (в Windows 10 адрес случаен). Эта ситуация означает, что злоумышленник также сможет без труда найти таблицу страниц Windows 7, которая доступна всем пользовательским приложениям.

В результате эксплоиту не нужно делать никакой лишней работы — можно просто считывать уже сопоставленную память нужного процесса, если только физическая память дополнительно не защищена расширенными страницами таблиц (EPT), используемыми для виртуализации. Microsoft, кстати, уже исправила ошибку в мартовском обновлении безопасности, переназначив бит разрешения PML4 в правильное значение. Поэтому всем пользователям Windows 7 и Windows Server 2008 R2 рекомендуется немедленно обновиться. Windows 10 и Windows 8.1 не были затронуты проблемой.

Google обнародовала неисправленную уязвимость Microsoft Edge

То ли программное обеспечение становится всё более сложным и неконтролируемым, то ли вопросам безопасности стали уделять больше внимания. Но на этот раз уязвимость выявлена в браузере Microsoft Edge. Вместе с обнародованием информации о дыре в безопасности, исследователь из Google Иван Фратрик (Ivan Fratric) сообщает о возможности обойти защиту Arbitrary Code Guard (AGG) и подвергнуть риску компьютер с Windows 10.

AGG была встроена в версию операционной системы 1703 (Creators Update) для блокирования эксплойтов JavaScript, пытающихся загрузить вредоносный код в память. Технически пользователи могут подвергнуть опасности свои компьютеры, просто посетив сомнительный сайт, посредством которого злоумышленники производят атаку.

Microsoft была уведомлена о существующей уязвимости в ноябре, но всё ещё не выпустила заплатку, потребовавшую больше времени. «Исправление проблемы управления памятью оказалось более сложным, чем предполагалось изначально, и с большой долей вероятности мы не успеем уложиться до выхода февральского пакета обновлений. Команда информационной безопасности настроена представить его 13 марта, однако этот срок выходит за рамки 90-дневного периода неразглашения (в рамках программы Project Zero) и дополнительного 14-дневного льготного периода, связанного с периодичностью выхода обновлений Windows», — сообщается в комментарии Microsoft.

Следовательно, пользователям браузера Microsoft Edge желательно до этого времени постараться избегать не вызывающих доверия сайтов, ссылки на которые, как правило, приходят из непроверенных источников, рассылаются по email и через мессенджеры. Учитывая сравнительно небольшую популярность браузера Edge, количество находящихся в зоне риска пользователей не очень велико, тем не менее Microsoft следовало бы поторопиться с развёртыванием исправления.

Через 4 месяца после выхода BioWare всё ещё исправляет анимацию в Mass Effect: Andromeda

Игроки часто ругают компании за слишком долгую разработку новых частей популярных игр. Mass Effect: Andromeda находилась в цехах BioWare около пяти лет, и столь продолжительный процесс явно не сыграл ей на руку — RPG вышла в марте и вызвала целый шквал критики со стороны игроков. Приключения в галактике Андромеды оказались подпорчены не только довольно слабой историей, но и огромным количеством технических проблем, в особенности, с анимацией лиц. Такое положение дел было особенно странным на фоне отсутствия таких очевидных недоработок в предыдущих играх серии. Как потом сообщил ресурс Kotaku, на самом деле большую часть работ студия проделала в последние 18 месяцев перед релизом.

Самые худшие проблемы с анимацией вроде стрельбы из тыльной стороны оружия, мертвенных глаз и пугающих оскалов ключевых персонажей, были исправлены довольно быстро, но и сегодня разработчики четвёртой игры во вселенной Mass Effect продолжают выпускать заплатки, призванные сделать анимацию более правдоподобной. Сейчас BioWare уже дошла до исправления более тонких анимационных недоработок.

BioWare вырезала эту блуждающую блаженную улыбку Сары Райдер из вступительной сцены с демонстрацией корабля «Буря» (слева — было, справа — стало)

BioWare вырезала эту блуждающую блаженную улыбку Сары Райдер из вступительной сцены с демонстрацией корабля «Буря» (слева — было, справа — стало)

YouTube-блогер Yongyea отслеживает изменения, которые приносят новые апдейты. Иногда речь идёт о небольших доработках, а порой переделываются целые сцены. В последней заплатке были изменены углы камеры, освещение и анимация губ в ряде сцен. Подробный взгляд на улучшения, которые приносит заплатка, приводится в видеоролике:

Учитывая сообщения о сокращениях в BioWare Montreal и заморозке серии Mass Effect, любопытно видеть, что остатки сотрудников студии предпринимают попытки шаг за шагом улучшить Andromeda. Похоже, однопользовательских дополнений к Andromeda игроки уже не увидят, а вот в многопользовательском режиме недавно появился новый персонаж-батарианец. Кстати, с последним обновлением Mass Effect: Andromeda избавилась от DRM-защиты Denuvo.

AMD признаёт проблемы с Crimson и уже выпустила обновление

Практически ни один большой проект на стадии запуска не обходится без проблем. Все мельчайшие нюансы учесть просто невозможно. Сработал закон Мерфи и для нового проекта AMD —  пакета драйверов Crimson с новой панелью управления, призванной заменить устаревший интерфейс Catalyst Control Center. По многочисленным сообщениям пользователей, Crimson действительно обеспечивает серьёзный прирост производительности, но на некоторых картах устанавливает скорость вращения вентилятора на 20 %, вне зависимости от температур и напряжений. Ситуация возникает при сбросе настроек Overdrive; пока замечены случаи такого поведения Crimson с картами семейства HD 7000 и некоторыми решениями семейства Radeon 300 и 200.

speedtest.net.in

speedtest.net.in

Разумеется, такая проблема относится к разряду серьёзных: современный мощный графический адаптер выделяет много тепла — как само его сердце, графический процессор, так и силовые транзисторы подсистемы питания. И недостаток охлаждения под нагрузкой может привести к выходу дорогостоящей видеокарты из строя. В обычных условиях это маловероятно, но в режиме разгона или при многочасовом тестировании вероятность необратимых повреждений графического адаптера существенно возрастает. Любопытно, что решения на базе процессора Fiji, такие как Fury, Fury X и Nano данной проблеме, похоже, не подвержены.

К счастью, современные графические процессоры имеют средства защиты от перегрева, такие как снижение тактовых частот и даже отключение. Возможно поэтому некоторые пользователи, установившие Crimson, сообщили о падении производительности, не обратив внимания на температуру ядра и скорость вращения вентиляторов. Сама AMD официально заявила, что знает о существовании проблемы и считает её серьёзной. Как и было обещано, состоялся выпуск обновления, решающего данную проблему. Ознакомиться со списком исправлений можно здесь, а загрузить AMD Radeon Software Crimson Edition 15.11.1 Beta — в соответствующем разделе веб-сайта компании.

Microsoft выпустила майскую порцию патчей для своих продуктов

Корпорация Microsoft опубликовала на своём сайте техподдержки майскую порцию бюллетеней безопасности с описанием новых дыр в программных продуктах.

foxnews.com

foxnews.com

На этот раз выпущено восемь бюллетеней, содержащих сведения о 13 уязвимостях в операционных системах Windows различных версий, браузере Internet Explorer и приложениях пакета Office. Большинство «дыр» позволяют злоумышленникам выполнить произвольный вредоносный код на удалённом компьютере или повысить уровень привилегий в атакуемой системе.

Ни один из патчей не предназначен для платформы Windows XP и набора программ Office 2003, поскольку техническая поддержка этих продуктов была полностью прекращена корпорацией Microsoft в начале апреля. Впрочем, справедливости ради нужно сказать, что редмондская корпорация недавно выпустила критическое обновление для IE на Windows XP, несмотря на окончание поддержки.

softpedia.com

softpedia.com

Но, тем не менее, эксперты говорят, что отсутствие патчей для Windows XP и Office 2003 может привести к новой волне атак на эти платформы. Дело в том, что, по оценкам экспертов, более половины «дыр», устранённых в текущем месяце, могут иметь отношение к названным продуктам.

Так или иначе, Microsoft настоятельно рекомендует отказаться от использования устаревших платформ и перейти на поддерживаемые продукты, апдейты для которых доступны здесь

Microsoft выпустила внушительную порцию патчей

Корпорация Microsoft выпустила ежемесячную порцию апдейтов для своих программных продуктов: «дыры» устранены в операционных системах Windows, офисных приложениях, браузере Internet Explorer, пакетах Exchange, Visual Studio, SharePoint и пр.

Иллюстрация pureinfotech.com

Иллюстрация pureinfotech.com

Всего редмондская компания опубликовала 11 бюллетеней безопасности, содержащих информацию о 24 уязвимостях. Один из апдейтов устраняет критически опасную брешь в библиотеке Microsoft GDI+: эксплуатируя эту уязвимость, злоумышленники могут выполнить произвольный программный код на атакуемом компьютере через сформированный особым образом графический файл в формате TIFF.

Для Internet Explorer выпущен кумулятивный патч, закрывающий сразу несколько «дыр». Некоторые из них могут применяться для захвата полного контроля над удалённым компьютером.

Закрыта также уязвимость библиотеки выполнения сценариев, которая делает возможным удалённое выполнение кода при условии, что злоумышленник сможет убедить пользователя посетить специально созданный веб-сайт. Это обновление имеет уровень «критический» для Windows Script 5.6, Windows Script 5.7 и Windows Script 5.8, которые уязвимы во всех поддерживаемых выпусках Windows.

В целом в текущем году Microsoft опубликовала 106 бюллетеней безопасности, содержащих сведения о 330 уязвимостях. Несмотря на то, что для многих пользователей растущее количество исправлений может означать, что выпускающиеся продукты содержат большее количество «дыр», эксперты полагают, что в первую очередь, увеличение числа «заплаток» означает быстрое реагирование на существующие бреши со стороны компании. 

Microsoft залатает три десятка «дыр» в своих продуктах

В предстоящий вторник, 14 мая корпорация Microsoft представит внушительный комплект патчей для своих программных решений.

Как сообщается в предварительном уведомлении, всего компания планирует выпустить десять обновлений безопасности, устраняющих в общей сложности 33 уязвимости и затрагивающих Windows, Office, Internet Explorer, .NET Framework, Lync и другие продукты софтверного гиганта. Два апдейта имеют статус критических, остальные маркированы как «важные».

В опубликованном Microsoft документе отмечается, что некоторые «дыры» могут быть использованы злоумышленниками с целью захвата контроля над пользовательским компьютером и выполнения на нем произвольного вредоносного кода. Именно по этой причине специалисты по информационной безопасности рекомендуют не затягивать с инсталляцией заплаток.

Загрузить патчи можно будет через встроенные в Windows средства автоматического обновления.

Материалы по теме:

Источник:

Microsoft подготовила мартовский комплект патчей для своих продуктов

Корпорация Microsoft опубликовала предварительную информацию об очередной порции заплаток для своих программных решений, которая будет выпущена во вторник, 12 марта.

Как сообщается в предварительном уведомлении, всего компания намерена представить семь обновлений безопасности, устраняющих бреши в операционных системах Windows XP/Vista/7/8/RT, серверных платформах Windows Server 2008/2008 R2/2012 и SharePoint Server, офисных приложениях различных редакций, браузере Internet Explorer и плагине Silverlight. Ряд обнаруженных уязвимостей носят критически опасный характер и могут использоваться злоумышленниками для получения несанкционированного доступа к удаленному компьютеру и выполнения на нем произвольного программного кода.

Скачать патчи можно будет через встроенные в Windows средства автоматического обновления. Во избежание проблем с безопасностью компьютера, рекомендуется установить апдейты при первой же возможности.

Материалы по теме:

Источник:

Microsoft подготовила первый в этом году комплект патчей для своих продуктов

Корпорация Microsoft намерена отметить начало года выпуском внушительного набора заплаток для своих программных решений.

Как сообщается в предварительном уведомлении, во вторник 8 января компания представит семь обновлений безопасности, устраняющих двенадцать уязвимостей в операционных системах Windows различных редакций, офисных приложениях, платформе .NET Framework, а также линейке серверных продуктов и инструментарии Developer Tools. Два бюллетеня безопасности маркированы Microsoft как критические, остальные носят статус важных.

Вместе с заплатками Microsoft выпустит обновленную версию утилиты Windows Malicious Software Removal Tool, предназначенной для поиска и удаления наиболее распространенных вредоносных программ.

Скачать патчи можно будет через встроенные в Windows средства автоматического обновления либо воспользовавшись службой Microsoft Update. В виду опасности ряда обнаруженных брешей, специалисты корпорации рекомендуют пользователям не затягивать с установкой апдейтов и установить их при первой же возможности.

Материалы по теме:

Источник:

Google закрыла почти два десятка уязвимостей в Chrome 17

Разработчики Google выпустили внушительную порцию заплаток для браузера Chrome, обновив приложение до версии 17.0.963.65.

В новой редакции программы специалисты компании устранили недоработки в коде продукта и ликвидировали 17 опасных уязвимостей, допускающих возможность захвата злоумышленниками полного контроля над удаленным компьютером. Во избежание проблем с безопасностью веб-обозревателя, в Google рекомендуют не затягивать с инсталляцией патчей и советуют пользователям обновить Chrome при первой же возможности.

Семнадцатая сборка Chrome увидела свет 8 февраля. При подготовке к выпуску обновленной версии браузера разработчики сосредоточили усилия на реализации механизма загрузки и рендеринга страниц в фоновом режиме, функционирующего в момент ввода пользователем URL-адресов, и улучшениях системы безопасности, в состав которой вошел модуль проверки загружаемых из Сети файлов.

Согласно статистике Net Applications, рыночная доля Chrome по состоянию на начало марта составляла почти 19%. В списке самых распространенных веб-обозревателей разработка корпорации Google фигурирует на третьей позиции. По данным StatCounter, Chrome является самым популярным браузером в Рунете.

Материалы по теме:

Источник:

Microsoft подготовила комплект патчей для своих продуктов

Корпорация Microsoft намерена выпустить во вторник, 14 февраля очередную порцию заплаток для своих программных решений.

Согласно опубликованной в предварительном уведомлении информации, всего компания планирует представить девять обновлений безопасности, устраняющих два десятка с гаком уязвимостей в операционных системах Windows различных редакций, браузере Internet Explorer, пакете офисных приложений Microsoft Office, а также платформах .NET Framework и Silverlight. Четыре бюллетеня безопасности маркированы Microsoft как критические, остальные носят статус важных.

В силу того, что подготовленный Microsoft комплект патчей устраняет "дыры", которые теоретически могут быть использованы злоумышленниками с целью захвата полного контроля над удаленным компьютером и выполнения на нем произвольного вредоносного кода, рекомендуется установить апдейты при первой же возможности. Загрузить патчи можно будет, воспользовавшись встроенными в Windows средствами автоматического обновления.

Материалы по теме:

Источник:

Micrоsоft подготовила очередную порцию патчей

В ближайший вторник, 13 декабря команда разработчиков Microsoft выпустит очередную порцию заплаток для своих программных продуктов.

Как сообщается в предварительном уведомлении, всего компания намерена представить 14 обновлений, устраняющих два десятка уязвимостей в операционных системах Windows различных версий, пакетах офисных приложений и браузере Internet Explorer. Три бюллетеня безопасности маркированы Microsoft как критические, остальные носят статус важных.

 

 

Вместе с патчами Microsoft выпустит обновленную версию утилиты Windows Malicious Software Removal Tool, предназначенной для поиска и удаления распространенных вредоносных программ.

Скачать апдейты можно будет через встроенные в Windows средства автоматического обновления либо воспользовавшись службой Microsoft Update. Во избежание проблем с информационной безопасностью компьютера, произвести установку патчей рекомендуется при первой же возможности.

Материалы по теме:

Источник:

Oracle закрыла уязвимости в платформе Java SE

Корпорация Oracle сообщила о выпуске набора обновлений для входящего в состав платформы Java Standart Edition (SE) шестой и седьмой редакций программного инструментария.

Согласно опубликованной специалистами Oracle информации, представленные апдейты -Java SE 6 Update 29 и Java SE 7 Update 1 - устраняют два десятка уязвимостей, пять из которых носят статус опасных и теоретически могут использоваться злоумышленниками для получения несанкционированного доступа к удаленному компьютеру и последующего выполнения на нем произвольных операций. Бреши обнаружены во многих компонентах платформы, в том числе и в исполнительной среде Java Runtime Environment (JRE).

Установить заплатки для Java SE настоятельно рекомендуется всем пользователям. Загрузить патчи можно с сайта компании-разработчика по этой ссылке либо посредством встроенных в Java средств автоматического обновления.

 

 

О важности своевременного обновления Java свидетельствуют исследования экспертов по информационной безопасности, акцентирующие внимание на беспрецедентном  росте числа атак на упомянутую платформу. Согласно последним отчетам Microsoft, только за прошедший квартал было зафиксировано свыше 6 миллионов случаев применения Java-эксплойтов. При этом значительное количество хакерских атак были связаны с эксплуатацией брешей в среде JRE, установленной на большинстве компьютеров под управлением операционных систем Windows, Linux и Mac OS X.

Столь внушительный масштаб угроз, по мнению экспертов, обусловлен многообразием программных решений, в дистрибутивы которых включены устаревшие версии платформы Java, а также посредственным отношением пользователей к безопасности своего рабочего места и нежеланием своевременно обновлять установленные на ПК приложения. Обеспокоенность специалистов Microsoft разделяют вирусные аналитики "Лаборатории Касперского" и ESET, также регулярно отмечающие в своих отчетах высокую активность эксплойтов для Java.

Материалы по теме:

Источник:

Microsoft подготовила патчи для Windows и Office

Корпорация Microsoft намерена выпустить в предстоящий вторник, 12 июля очередную порцию заплаток для своих программных продуктов.

Как сообщается в предварительном уведомлении, всего компания планирует представить четыре обновления безопасности, устраняющие уязвимости в операционных системах Windows XP/Vista/7, серверных платформах Windows Server 2003/2008/2008 R2, а также редакторе диаграмм и блок-схем Visio 2003, входящем в состав набора офисных приложений MS Office. Один из апдейтов получил статус критического и ликвидирует дыры, позволяющие злоумышленнику выполнить на атакуемой машине произвольный программный код.

Загрузить патчи можно будет через встроенные в Windows средства автоматического обновления либо воспользовавшись веб-узлом Microsoft Update. Во избежание проблем с безопасностью компьютера, рекомендуется установить апдейты при первой же возможности.

Материалы по теме:

Источник:

window-new
Soft
Hard
Тренды 🔥