תקלות אבטחה גדולות קיימות במעבדי אינטל, AMD, ARM - ביקורותExpert.net

תקלות אבטחה גדולות קיימות במעבדי אינטל, AMD, ARM - ביקורותExpert.net

שנה טובה! שלושה פגמי אבטחה עצומים במעבדים של אינטל, AMD, ARM ומעבדים אחרים נחשפו ביום רביעי (3 בינואר). מיקרוסופט פרסמה תיקון חירום עבור כל הגירסאות הנתמכות של Windows, כולל Windows 7, Windows 8.1 ו- Windows 10, אך הוסיפה כי משתמשים צריכים גם להחיל עדכוני קושחה כאשר הם יהיו זמינים מיצרני מכשירים. גוגל תיקנה את הפגם באנדרואיד בעזרת העדכון של ינואר 2022-2023-2022, שפורסם ביום שלישי (2 בינואר), אם כי בינתיים יש לו רק מכשירים המנוהלים על ידי Google. יתכן ותיקונים עבור macOS, iOS ו- Linux עדיין אינם זמינים במלואם.

שתי התקפות הוכחה לרעיון, המכונה "מלטדאון" ו"ספקטר ", מנצלות את שלושת הפגמים הללו, הנוגעים לאופן שבו מעבדי מחשב מודרניים מטפלים בזיכרון הפועל של יישומים ומערכת הליבה, או הגרעין, במערכות ההפעלה הנוכחיות.

"מלטדאון וספקטר עובדים על מחשבים אישיים, מכשירים ניידים וענן", אומרים האתרים המוקדשים לכל פגם, שיש להם תוכן זהה. "בהתאם לתשתית של ספק הענן, ייתכן שיהיה אפשר לגנוב נתונים מלקוחות אחרים".

פרסום בבלוג של Google הסביר כי הליקויים אפשרו זאת כך ש"גורם בלתי מורשה עשוי לקרוא מידע רגיש בזיכרון המערכת כגון סיסמאות, מפתחות הצפנה או מידע רגיש הפתוח ביישומים ".

Meltdown מוחק את הגבולות בין תהליכי גרעין ותהליכי משתמש ונראה כי הוא מוגבל לשבבי אינטל. ספקטר גונב נתונים מיישומים פועלים ועובד גם על שבבי AMD ו- ARM. אתרי Spectre ו- Meltdown לא פירטו כיצד מושפעות ערכות השבבים השונות בהן משתמשים במכשירים ניידים.

עם זאת, AMD הכחישה כי היא נפגעה מכל הפגמים.

"AMD לא רגישה לכל שלוש הגרסאות", אמרה החברה ל- CNBC. "בשל הבדלים בארכיטקטורה של AMD, אנו מאמינים כי קיים סיכון של כמעט אפס למעבדי AMD בשלב זה."

מה לעשות

אם אתה משתמש ב- Windows 7, 8.1 או 10, עליך ליישם את עדכון האבטחה של Windows שיצא היום. גרסאות מוקדמות של התיקונים נשלחו למשתמשי Windows Insider בנובמבר ודצמבר.

"אנו נמצאים בתהליך פריסת הפחתות לשירותי ענן ומפרסמים היום עדכוני אבטחה להגנה על לקוחות Windows מפני פגיעות המשפיעות על שבבי חומרה נתמכים של AMD, ARM ואינטל", נכתב בהצהרה של מיקרוסופט. "לא קיבלנו מידע המעיד על פגיעות אלה שימשו לתקיפת לקוחותינו".

עם זאת, ישנם כמה תופסים. ראשית, אלא אם כן אתה מפעיל מחשב נייד או טאבלט עם Microsoft, כגון Surface, Surface Pro או Surface Book, יהיה עליך להחיל גם עדכון קושחה מיצרן המחשב שלך.

"לקוחות שיתקינו רק את עדכוני האבטחה של Windows ינואר 2022-2023-2022 לא יקבלו את היתרון של כל ההגנות הידועות כנגד הפגיעויות", נכתב במסמך תמיכה של מיקרוסופט שפורסם ברשת. "בנוסף להתקנת עדכוני האבטחה של חודש ינואר, מיקרו -קוד מעבד או קושחה, יש צורך בעדכון. זה צריך להיות זמין דרך יצרן המכשיר שלך. לקוחות Surface יקבלו עדכון מיקרו -קוד באמצעות עדכון Windows."

שנית, מיקרוסופט מתעקשת שהלקוחות יוודאו ש"תמכו "בתוכנת אנטי -וירוס הפעלה לפני החלת התיקון. במסמך נפרד המסביר את תיקון האבטחה החדש, מיקרוסופט אומרת שרק מכונות שמריצות תוכנה כזו יקבלו את התיקון באופן אוטומטי.

לא ברור למה בדיוק מתכוונת מיקרוסופט בתוכנת אנטי וירוס "נתמכת", או מדוע מיקרוסופט מתעקשת שתוכנות כאלה צריכות להיות במחשב לפני החלת התיקון. יש קישור למסמך שאמור להסביר את כל זה, אך נכון לכתיבת שורות אלה מאוחר ביום רביעי בערב, הקישור לא הלך לשום מקום.

לבסוף, מיקרוסופט מודה שישנן "השפעות פוטנציאליות לביצועים" הקשורות לתיקונים. במילים אחרות, לאחר החלת התיקונים, המכונה שלך עשויה לפעול לאט יותר.

"עבור רוב מכשירי הצריכה ההשפעה עשויה שלא להיות ניכרת", נכתב במייעץ. "עם זאת, ההשפעה הספציפית משתנה בהתאם לייצור חומרה ויישומה על ידי יצרן השבבים."

להפעלה ידנית של Windows Update, לחץ על לחצן התחל, לחץ על סמל גלגל השיניים של ההגדרות, לחץ על עדכונים ואבטחה ולחץ על בדוק אם קיימים עדכונים.

משתמשי אפל צריכים להתקין עדכונים עתידיים על ידי לחיצה על סמל Apple, בחירת App Store, לחיצה על עדכונים ולחיצה על עדכן לצד כל הפריטים של Apple. התקבל דיווח לא מאושר בטוויטר כי אפל כבר תיקנה את הפגמים עם macOS 10.13.2 בתחילת דצמבר, אך מספרי זיהוי הפגיעות (CVE) המכוסים במדבקות אפל בדצמבר אינם תואמים את אלה שהוקצו ל- Meltdown ו- Spectre.

מכונות לינוקס ידרשו גם תיקונים, ונראה שמשהו כמעט מוכן. כפי שצוין לעיל, תיקון האבטחה של Android בינואר 2022-2023-2022 מתקן את הפגם, אם כי רק אחוז קטן ממכשירי Android יקבלו אותו לעת עתה. (לא ברור כמה מכשירי Android רגישים).

כיצד פועלות ההתקפות

מתקפת ההיתוך, שלפי הידוע לחוקרים משפיעה רק על שבבי אינטל שפותחו מאז 1995 (למעט קו איטניום וקו האטום שלפני 2013), מאפשרת לתוכניות רגילות לגשת למידע מערכת שאמור להיות מוגן. מידע זה מאוחסן בגרעין, המרכז השקוע עמוק של המערכת שמעולם לא נועדו פעולות המשתמש להתקרב אליו.

"התמוטטות שוברת את הבידוד הבסיסי ביותר בין יישומי משתמש למערכת ההפעלה", הסבירו אתרי מלטדאון וספקטר. "התקפה זו מאפשרת לתוכנית לגשת לזיכרון, ולפיכך גם לסודות, של תוכניות אחרות ומערכת ההפעלה".

"אם למחשב שלך יש מעבד פגיע ומריץ מערכת הפעלה ללא תיקון, לא בטוח לעבוד עם מידע רגיש ללא סיכוי לדלוף המידע".

Meltdown נקרא ככזה מכיוון שהוא "בעצם ממיס גבולות אבטחה הנאכפים בדרך כלל על ידי החומרה".

כדי לתקן את הפגם הקשור, זיכרון הגרעין יצטרך להיות מבודד עוד יותר מתהליכי משתמש, אך יש תופס. נראה כי הפגם קיים בחלקו מכיוון ששיתוף הזיכרון בין הליבה לבין תהליכי המשתמש מאפשר למערכות לפעול במהירות רבה יותר, והפסקת שיתוף זו עלולה להקטין את ביצועי המעבד.

כמה דיווחים אמרו שהתיקונים עלולים להאט את המערכות בשיעור של עד 30 אחוז. עמיתינו בחברת חומרה של טום חושבים שההשפעה על ביצועי המערכת תהיה קטנה בהרבה.

ספקטר, לעומת זאת, הוא אוניברסלי ו"שובר את הבידוד בין אפליקציות שונות ", אמרו באתרים. "זה מאפשר לתוקף להערים תוכניות נטולות שגיאות, העוקבות על פי שיטות מומלצות, כדי להדליף את סודותיהן. למעשה, בדיקות הבטיחות של שיטות העבודה הטובות ביותר למעשה מגדילות את פני ההתקפה ועלולות להפוך את האפליקציות לרגישות יותר לספקטר".

"כל המעבדים המודרניים המסוגלים לשמור על הוראות רבות בטיסה עלולים להיות פגיעים" לספקטר. "במיוחד אימתנו את ספקטר על מעבדי אינטל, AMD ו- ARM."

האתרים ממשיכים להסביר שזיהוי של התקפות כאלה יהיה כמעט בלתי אפשרי, וכי תוכנת אנטי וירוס יכולה לאתר רק תוכנות זדוניות שנכנסו למערכת לפני שהתחילו את ההתקפות. הם אומרים שקשה יותר לספקט את ספקטר מאשר מלטדאון, אך לא הייתה שום הוכחה כי התקפות דומות בוצעו "בטבע".

עם זאת, הם אמרו כי ספקטר, מה שנקרא מכיוון שהוא מתעלל בביצוע ספקולטיבי, תהליך ערכת שבבים נפוץ, "ירדוף אותנו די הרבה זמן".

האמנות האבודה של שמירה על סוד

ל- Intel, AMD ו- ARM נמסר על ידי גוגל על ​​הפגמים הללו ביוני 2022-2023-2022, וכל הגורמים המעורבים ניסו לשמור על הכל עד שהתיקונים יהיו מוכנים בשבוע הבא. אבל מומחים לאבטחת מידע שלא היו מודעים לסוד ידעו שמשהו גדול מגיע.

הדיונים בפורומי פיתוח לינוקס עניינו שיפוצים קיצוניים בטיפול במערכת ההפעלה בזיכרון הליבה, אך עדיין לא נחשפו פרטים. אנשים עם כתובות דוא"ל של מיקרוסופט, אמזון וגוגל היו מעורבים באופן מסתורי. באופן יוצא דופן, השיפוצים היו אמורים להיות מועברים אחורה למספר גרסאות קודמות של לינוקס, מה שמעיד על תיקון בעיית אבטחה גדולה.

זה עורר יומיים של תיאוריות קונספירציה על Reddit ו- 4chan. ביום שני (1 בינואר), בלוגר המכנה את עצמו Python Sweetness "חיבר את הנקודות הבלתי נראות" בפרסום ארוך המפרט מספר התפתחויות מקבילות בקרב מפתחי Windows ו- Linux בנוגע לטיפול בזיכרון הליבה.

יום שלישי המאוחר (2 בינואר). המאגר צבר הרבה מידע דומה. כמו כן, הוא ציין כי שירותי האינטרנט של אמזון יבצעו תחזוקה ותפעיל מחדש את שרתי הענן שלה ביום שישי הקרוב (5 בינואר). וכי תוכנת ענן התכלת של מיקרוסופט תכננה משהו דומה ל -10 בינואר.

הסכר פרץ ביום רביעי כאשר חוקר אבטחה הולנדי צייץ כי יצר באג הוכחת קונספט שנראה כי הוא מנצל לפחות אחד מהפגמים.

ב 3 בצהריים. EST ביום רביעי, אינטל, שראתה את מנייתה יורדת בכ -10 אחוזים במסחר של אותו יום, פרסמה הודעה לעיתונות שהמעיטה בפגמים, ומנייתה התאוששה בהתאם. אך החברה הודתה כי הפגמים יכולים לשמש לגניבת נתונים, וכי היא ויצרניות שבבים אחרות פועלות לתיקון הבעיה.

"אינטל וספקים אחרים תכננו לחשוף את הנושא בשבוע הבא כאשר יהיו עדכוני תוכנה וקושחה נוספים", נכתב בהודעה. "עם זאת, אינטל מפרסמת את ההצהרה הזו היום בגלל הדיווחים התקשורתיים הלא מדויקים כיום".

בשעה 17:00 הגיע דניאל גרוס, פוסט-דוקטורנט לאבטחת מידע באוניברסיטה הטכנית של גראץ באוסטריה, כדי להודיע ​​על מלטדאון וספקטר. הוא אמר לזאק וויטקר של ZDNet כי "כמעט כל מערכת" המבוססת על שבבי אינטל מאז 1995 הושפעה מהליקויים. התברר שהבעיה חמורה עוד יותר.

גרוס היה אחד משבעה חוקרי גראץ שפרסמו באוקטובר 2022-2023-2022 מאמר טכני המפרט פגמים תיאורטיים באופן שבו לינוקס טיפלה בזיכרון הליבה והציע תיקון. מתיקות פייתון, הבלוגר הבדוי שאליו התייחסה בתחילת הסיפור הזה, ככל הנראה צדק בניחוש שהנייר הזה היה מרכזי בפגם של אינטל שעובדים עליו כעת.

בשעה 18:00. EST, אתרי ספקטר והתמוטטות עלו לאוויר, יחד עם פרסום בבלוג של גוגל המפרט את המחקר של החברה עצמה. התברר ששתי קבוצות גילו באופן עצמאי את מלטדאון, ושלוש קבוצות שונות מצאו במקביל את ספקטר. לפרויקט אפס של גוגל ולצוות של גרוס בגראץ הייתה יד בשניהם.

קרדיט תמונה: נטשה איידל/נחלת הכלל

  • 12 טעויות אבטחת מחשבים שאתה כנראה עושה
  • הגנת האנטי וירוס הטובה ביותר עבור מחשבים אישיים, Mac ו- Android
  • האבטחה של הנתב שלך מסריחה: הנה איך לתקן את זה

תוכל לעזור בפיתוח האתר, שיתוף הדף עם החברים שלך

wave wave wave wave wave

רשום פופולרי

wave
1
post-title
ThinkPad X280 של Lenovo קל כמו פחמן X1 היקר - ביקורותExpert.net
2
post-title
סדרות G7 ו- G5 של Dell מקבלים מראה RTX ומראה Alienware - ביקורותExpert.net
3
post-title
מיקרוסופט תחשוף מחשב נייד משטח 15 אינץ '3 בחודש הבא (דוח) - ביקורותExpert.net
4
post-title
Samsung Galaxy Buds Pro לעומת AirPods Pro - ביקורותExpert.net
5
post-title
HP Specter Folio - סקירה מלאה ומדדים - ביקורותExpert.net

מומלץ

wave
- Sponsored Ad -

בחירת העורך

wave
- Sponsored Ad -