Безопасность

Meltdown, Spectre и... npm

Безопасность Security

Всех с интересным новым годом! Возможно, вы еще не в курсе уязвимостей Meltdown и Spectre. Поэтому — короткое вступление.

Прошлой осенью исследователи Google опубликовали исследования о нескольких уязвимостях процессоров. В этом году эти исследования стали общедоступными. Если совсем вкратце:

  • Обе уязвимости позволяют тырить данные.
  • Доступ к чужой памяти только на чтение. На случай если вы уже начитались про “ученых и журналистов” :)
  • Meltdown, в отличие от Spectre, позволяет читать не только память других процессов, но и ядра.
  • Уязвимости можно эксплуатировать в браузерах (где-то заплатки уже выпущены, но насколько они защищают, пока не знаю).
  • Для AMD всё относительно хорошо (пока).

Да, это всё не значит, что у вас гарантированно украдут данные. Однако, повышается вероятность утечки информации, например, при заходе на нормальный сайт с вредоносным кодом в рекламном скрипте.

Далее чуть больше подробностей.