Zabezpiecz mennicę systemu Linux przed lukami w zabezpieczeniach przed topnieniem i widmami
W dzisiejszych czasach wszyscy wiedzą o wadach Meltdown i Spectre, które dotyczą wszystkich nowoczesnych procesorów, w tym wszystkich procesorów Intela z ostatniej dekady oraz niektórych procesorów ARM64 i AMD w przypadku Spectre. Zespół odpowiedzialny za projekt Linux Mint ostrzega użytkowników i udzielanie przydatnych zaleceń dotyczących zabezpieczania komputera Linux Mint.
Jeśli nie znasz luk w zabezpieczeniach Meltdown i Spectre, omówiliśmy je szczegółowo w tych dwóch artykułach:
- Microsoft wprowadza awaryjną poprawkę usterek procesorów Meltdown i Spectre
- Oto poprawki Windows 7 i 8.1 dla usterek procesorów Meltdown i Spectre
Krótko mówiąc, zarówno luki Meltdown, jak i Spectre umożliwiają procesowi odczytywanie prywatnych danych dowolnego innego procesu, nawet spoza maszyny wirtualnej. Jest to możliwe dzięki implementacji przez Intela sposobu, w jaki ich procesory wstępnie pobierają dane. Nie można tego naprawić, instalując tylko poprawki systemu operacyjnego. Poprawka obejmuje aktualizację jądra systemu operacyjnego, a także aktualizację mikrokodu procesora, a być może nawet aktualizację UEFI/BIOS/firmware dla niektórych urządzeń, aby w pełni złagodzić exploity.
Zgodnie z oczekiwaniami głównym zaleceniem jest zainstalowanie wszystkich dostępnych aktualizacji systemu operacyjnego.
Przeglądarki
Aktualizacje obejmują niedawno wydaną wersję Firefoksa 57.0.4. Ta wersja przeglądarki posiada dodatkową ochronę przed wspomnianymi zagrożeniami. Oba ataki opierają się na precyzyjnym taktowaniu, więc wyłączenie lub zmniejszenie precyzji kilku źródeł czasu w Firefoksie pomaga. Zapoznaj się z następującym artykułem: Wydano Firefox 57.0.4 z obejściem ataku Meltdown i Spectre.
Uwaga: jeśli jesteś użytkownikiem Chromium/Google Chrome, poprawka dla Twojej przeglądarki jest oczekiwana w nadchodzącej wersji 64. Obecnie możesz szybko zabezpieczyć przeglądarkę, włączając funkcję pełnej izolacji witryny. Zobacz artykuł Zabezpiecz Google Chrome przed lukami w zabezpieczeniach Meltdown i Spectre
Przeglądarka Opera ma tę samą funkcję pełnej izolacji witryny. Wpisz adres opera://flags/?search=enable-site-per-process
w pasku adresu i włącz flagę, aby chronić się przed lukami.
Kierowcy
Drugą sugestią dla użytkowników Linux Mint jest zainstalowanie sterowników NVIDIA w wersji 384.111, jeśli używasz zastrzeżonych sterowników. W Linux Mint 17.xi 18.x ta aktualizacja jest dostępna w Menedżerze aktualizacji. Użytkownicy Linux Mint Debian Edition mogą pobrać sterowniki ze strony Witryna NVIDIA.
Jądro Linuksa
Zespół pracuje nad wydaniem zaktualizowanego jądra dla Linux Mint 18.x i Linux Mint 17.x. W chwili pisania tego tekstu tylko wersja systemu operacyjnego Debian ma zaktualizowane jądro, czyli 3.16.51-3+deb8u1.
Ogólnie rzecz biorąc, jeśli zainstalujesz wszystkie dostępne aktualizacje, gdy tylko staną się dostępne, jesteś chroniony. Ponieważ te luki w zabezpieczeniach można wykorzystać tylko za pomocą JavaScript w przeglądarce, rozważ unikanie niezaufanych witryn internetowych lub pozostawienie wyłączonego lub białej listy JavaScript za pomocą dodatków, takich jak NoScript dla przeglądarki Firefox lub ScriptBlock dla przeglądarek opartych na Google Chrome/Chromium.
Otóż to.