עדכון 17:42 ET: אפל פרסמה דף תמיכה עם הוראות כיצד להשבית שרשרת-יתר כדי להגן באופן מלא על ה- Mac שלך מפני ZombieLoad, אך הזהירה כי פעולה זו עלולה להפחית את הביצועים בעד 40%. למידע נוסף, קרא את המדריך שלנו כיצד להשבית את התכונה.
יש סיכוי טוב שהנייד שלך מופעל על ידי מעבד Intel. אם כן, יהיה עליך לעדכן את המחשב שלך מיד, לאחר שהתגלתה סוג של פגיעויות המאפשרות לתוקפים לגנוב נתונים ישירות מהמעבד שלך.
הבאג שנקרא ZombieLoad ושלוש נקודות תורפה קשורות נחשפו על ידי כמה מאותם חוקרים שהביאו את הפגמים הקריטיים של ספקטר והתמוטטות, והם חולקים קווי דמיון רבים לאותם באגים.
ZombieLoad ומשפחתו משפיעים על כל מעבד אינטל שנעשה מאז 2011, כלומר כל ה- MacBooks, רוב גדול של מחשבי Windows, רוב שרתי לינוקס ואפילו מחשבי Chromebook רבים נמצאים על הכוונת. ניתן להשתמש בבאגים אפילו במכונות וירטואליות בענן. אך נראה כי שבבי AMD ו- ARM אינם מושפעים מהליקויים האחרונים.
קרדיט: אינטל
אינטל, המכנה קבוצת פגמים זו מיקרו -ארכיטקטורת דגימת נתונים, או MDS, אומרת כי מעבדי דור 8 ודור 9 כבר מוגנים מפני הפגם, וכי כל מעבדי העתיד יכללו הפחתת חומרה. (החוקרים שגילו את הפגמים אינם מסכימים עם אינטל וטוענים כי השבבים האלה עדיין מושפעים).
"דגימת נתונים מיקרו -ארכיטקטוניים (MDS) כבר מטופלת ברמת החומרה בהרבה מעבדי Intel® Core ™ מהדור השמיני וה -9, כמו גם במשפחת המעבדים המדרגת Intel® Xeon® מדור שני", נמסר בהצהרה רשמית של אינטל. .
כיצד פועלות ההתקפות
בדומה לספקטר, מלטדאון ועוד כמה פגמים שהתגלו מאז, ארבע ההתקפות החדשות החדשות הללו-הנקראות ZombieLoad, Fallout, RIDL ו- Store-to-Leak Forwarding-מנצלות חולשות בתכונה נפוצה בשם "ביצוע ספקולטיבי", המשמשת לעזור למעבד לחזות מה יידרש לאפליקציה או לתוכנית הבאה כדי לשפר את הביצועים.
המעבד משער, או מנסה לנחש, אילו בקשות לפעולות הוא יקבל בעתיד הקרוב (כלומר, האלפיות השנייה הקרובות). המעבד מבצע או מבצע את אותן פעולות לפני שהן מתבקשות על מנת לחסוך זמן בעת ביצוע הבקשות בפועל.
הבעיה היא שעל ידי ביצוע פעולות לפני שהן נחוצות בפועל, המעבדים מכניסים את תוצאות הפעולות האלה-כלומר נתונים-למטמון הזיכרון הקצר שלהם. בדרכים שונות, ספקטר, מלטדאון וארבעת הפגמים האחרונים, כל מאפשרים לתוקפים לקרוא את הנתונים ישירות מהמטמון בזיכרון המעבד. יש כאן פירוט טכני של ארבעת ההתקפות החדשות.
סרטון הוכחה מושג מדאיג מראה כיצד ניתן לבצע את הניצול של ZombieLoad כדי לראות באילו אתרים אדם צופה בזמן אמת. הפגיעויות גם פותחות בפני התוקפים את הדלת לאתר סיסמאות, מסמכים רגישים ומפתחות הצפנה ישירות ממעבד.
"זה בערך כמו שאנחנו מתייחסים למעבד כרשת של רכיבים, ובעצם אנחנו מצותפים לתנועה ביניהם", אמר ל- Wired כריסטיאנו ג'ופרידה, חוקר באוניברסיטת Vrije Universiteit אמסטרדם, שהיתה חלק מהצוותים שגילו את התקפות MDS. "אנו שומעים כל דבר שהמרכיבים האלה מחליפים".
קרדיט: מייקל שוורץ/טוויטר
עדכן עכשיו
יש חדשות טובות. אינטל, אפל, גוגל ומיקרוסופט כבר פרסמו תיקונים לתיקון הליקויים. כך גם יצרניות רבות של הפצות לינוקס. אבל אתה לא נמצא בסכנה עד שתעדכן את כל המכשירים מבוססי אינטל שלך ומערכות ההפעלה שלהם, אותם אנו ממליצים בחום לבצע מיד. קרא את המדריך שלנו כיצד לבדוק אם קיימים עדכונים ב- Mac שלך או בצע את השלבים הבאים לעדכון מחשב Windows 10 שלך.
אינטל הודתה כי תיקוני האבטחה האחרונים ישפיעו על ביצועי המעבד בשיעור של עד 3% במכשירי צריכה ועד 9% במכונות מרכזי נתונים, וגוגל מבטלת השחלת היתר (שיטה המפצלת ליבות כדי לשפר את הביצועים) ב- Chrome מערכת הפעלה 74 כדי לצמצם את סיכוני האבטחה. אך אל תתנו לזה להניא אתכם לאלץ את העדכון באופן ידני.
אפל פרסמה דף תמיכה המסביר כי הדרך היחידה להקל על הפגם במלואו היא השבתת שרשור יתר, אך על ידי כך, אתה מסתכן בהפחתת ביצועי המערכת ב -40%מדהימים, על פי בדיקות פנימיות. רוב האנשים לא יצטרכו לנקוט באמצעים כה קיצוניים כדי להגן על המחשבים שלהם, אך משתמשים מסוימים בסיכון, כמו עובדי ממשל ומנהלי עסקים, עשויים לרצות לנקוט באמצעי הזהירות. אם אתה נופל לקבוצות אלה או רוצה ביטחון נוסף, קרא את המדריך שלנו כיצד להשבית שרשור יתר ב- macOS (עבור Mojave, High Sierra ו- Sierra).
שורה תחתונה
לרוע המזל, חוקרים סבורים כי נקודות תורפה הקשורות לביצוע ספקולטיבי ימשיכו לצוץ הרבה בעתיד. אנחנו יכולים רק לחצות אצבעות שהפגמים הללו יתוקנו במהירות, אך ברגע שהם, זה תלוי בך כדי לוודא שכל המכשירים שלך עודכנו לגרסאות העדכניות והמאובטחות ביותר.
- התמוטטות וספקטרום: כיצד להגן על המחשב האישי, ה- Mac והטלפון שלך
- מהו TPM? כיצד שבב זה יכול להגן על הנתונים שלך
- 9 טיפים לשמירה על בטיחות ב- Wi-Fi ציבורי