Intel устранил две критические уязвимости процессоров

   Исследователь вопросов компьютерной безопасности Крис Касперски сообщил, что Intel устранил две уязвимости процессоров.

   Касперски собирался продемонстрировать на октябрьской конференции Hack In The Box Security Conference реально работающий код, использующий критические уязвимости процессоров Intel. Он сказал, что, используя эти уязвимости, сможет провести успешную атаку на компьютер из сети независимо от установленного на нём программного обеспечения.

   Вчера Касперски сообщил Computerworld, что по информации, полученной им от представителя Intel, компания уже устранила две обнаруженные критические уязвимости процессоров. Одна из них была в контроллере кэша, вторая - в вычислительном блоке. Любая из этих двух уязвимостей могла использоваться для несанкционированного удалённого доступа к компьютеру. Касперский добавил, что кроме этих двух уязвимостей им обнаружено около десятка других, однако Intel не собирается их устранять, так как они не мешают обычной работе процессора и не могут быть использованы для атак на компьютер.

   Intel не подтверждает и не опровергает эту информацию, однако в недавнем интервью Джордж Альфс (George Alfs), представитель Intel, говорил: "Мы просматриваем все публикации. Разумеется, мы видели и это сообщение. ... Все процессоры имеют ошибки, и каждое сообщение об обнаруженной уязвимости должно быть по возможности проверено."

   В заключение интервью Касперски обвинил ошибки процессоров в способности повредить жёсткий диск без ведома пользователя. Он также сказал, что теперь не собирается публиковать код, испольующий уязвимости процессоров при работе с JavaScript и с пакетами TCP/IP, так как его об этом просили многие люди. Тем не менее некоторые технические подробности Касперски обнародует. "Я считаю, что если люди будут знать о существовании ошибок в процессорах, они заставят Intel устранить их", - говорит Касперски. - "Меня попросили не обнародовать код, подтверждающий мои слова, и я считаю, что это правильно. Ещё меня попросили не публиковать техническую информацию, но я с этим в корне несогласен. ... Раскрытие технических подробностей не приведёт к хаосу и массовым атакам на компьютеры." Он добавил, что покажет лишь некоторые фрагменты кода, позволяющие понять принцип возможных атак.

   Ранее аналитик Дэн Олдс (Dan Olds) сказал, что согласен с заявлениями Касперски, и что в зоне риска находятся как персональные компьютеры, так и сервера. "Эти утверждения весьма серьёзны, и, если они соответствуют действительности, имеют большое значение. Один факт широкой публикации кода соблазнит хакеров воспользоваться им в своих целях. Я надеюсь, что слова о возможном повреждении операционной системы были преувеличением."