Meltdown (zranitelnost)

Meltdown je hardwarová zranitenost, která postihuje procesory Intel x86 a některé mikroprocesory ARM.[1][2][3] Umožňuje podvodnému procesu (malware) číst jakékoliv místo v operační paměti počítače, tedy i z prostoru jádra operačního systému nebo jiného procesu bez ohledu na to, zda k tomu má oprávnění.

Meltdown postihl systémy Microsoft Windows, iOS, MacOS i Linux. V důsledku toho byly postižené i cloudové služby, vestavěná i chytrá zařízení (smart TV, mobilní zařízení, řídící prvky sítí atd.). Softwarové řešení snižovalo výkon počítačů podle typu zátěže v rozsahu 5 až 30 %,[4] přestože společnosti zodpovědné za opravy uváděly minimální dopad.[5]

Zranitelnosti Meltdown bylo v lednu 2018 přiděleno CVE-2017-5754,[6] označované jako Podvodné čtení z datové cache.[2] Zranitelnost byla odhalena v souvislosti s jinou zranitelností (Spectre), která má podobné charakteristiky (ne však všechny).

Odkazy

Reference

V tomto článku byl použit překlad textu z článku Meltdown (security vulnerability) na anglické Wikipedii.

  1. About speculative execution vulnerabilities in ARM-based and Intel CPUs [online]. Dostupné online. Je zde použita šablona {{Cite web}} označená jako k „pouze dočasnému použití“.
  2. a b LTD., Arm. Arm Processor Security Update – Arm Developer [online]. Dostupné online. Je zde použita šablona {{Cite web}} označená jako k „pouze dočasnému použití“.
  3. BRIGHT, Peter. Meltdown and Spectre: Here’s what Intel, Apple, Microsoft, others are doing about it [online]. 5 January 2018 [cit. 2018-01-06]. Dostupné online. Je zde použita šablona {{Cite web}} označená jako k „pouze dočasnému použití“.
  4. Kernel-memory-leaking Intel processor design flaw forces Linux, Windows redesign [online]. The Register. Dostupné online. Je zde použita šablona {{Cite web}} označená jako k „pouze dočasnému použití“.
  5. Industry Testing Shows Recently Released Security Updates Not Impacting Performance in Real-World Deployments [online]. January 4, 2018 [cit. 2018-01-05]. Dostupné online. Je zde použita šablona {{Cite web}} označená jako k „pouze dočasnému použití“.
  6. CVE-2017-5754 [online]. Dostupné online. Je zde použita šablona {{Cite web}} označená jako k „pouze dočasnému použití“.

Související články

  • Spectre (zranitelnost)
  • Officiální web zranitelností Meltdown a Spectre
  • článek na Google Project Zero
  • CVE-2017-5754 v National Vulnerability Database
  • Meltdown proof-of-concept uvolněný výzkumníky, kteří zveřejnili podrobnosti o Meltdown
  • Am I Affected by Meltdown – nástroj na zjištění zranitelnosti Meltdown, který vytvořil Raphael S. Carvalho
  • Meltdown/Spectre Checker od Gibson Research Corporation