کمیته رکن چهارم – شرکت Google جزئیاتی را منتشر کرده که بر اساس آن تمامی پردازشگرهای عرضه شده از سال ۱۹۹۵ به بعد به دو ضعف امنیتی با نامهای Meltdown و Spectre آسیبپذیر هستند.
به گفته Google هر دوی این ضعفها، مهاجم را قادر به سرقت دادههای حساسی میکنند که توسط CPU در حال پردازش شدن هستند.
همچنین بررسیهای Google نشان میدهد که امکان سرقت دادههای در حال پردازش ماشینهای مجازی دیگر از روی یک ماشین مجازی بر روی سروری واحد در بسترهای رایانش ابری نیز فراهم است.
آسیبپذیریهای مذکور هر چند سختافزاری گزارش شدهاند اما ترمیم آنها مستلزم عرضه اصلاحیه برای ثابتافزار (Firmware) توسط سازندگان پردازشگر و همچنین ارائه بهروزرسانی توسط سازندگان سیستم عامل و برخی برنامهها است.
در گزارش Google همه چیز و همه کس به Meltdown و Spectre آسیبپذیر توصیف شدهاند. سازندگان اصلی پردازشگرها همچون Intel و AMD و سیستمهای عامل اصلی نظیر Windows،و Linux و Mac و حتی ارائهدهندگان خدمات رایانش ابری از جمله Amazon و Microsoft همگی با این دو ضعف امنیتی دست به گریبان هستند که البته برخی از آنها اقدام به انتشار توصیه نامه کرده اند.
در حال حاضر Intel ابزاری را برای بررسی وجود ضعفهای امنیتی Meltdown و Spectre و حل موقت اشکال بر روی دستگاههای با پردازشگر ساخت این شرکت ارائه کرده که از طریق لینکهای زیر قابل دریافت هستند:
INTEL-SA-00075 Detection and Mitigation Tool (Windows)
INTEL-SA-00075 Linux Detection and Mitigation Tools (Linux)
جزئیات بیشتر در مورد دو آسیبپذیری مذکور در لینکهای زیر قابل دریافت و مطالعه است:
https://meltdownattack.com
https://spectreattack.com
https://www.kb.cert.org/vuls/id/584653
https://www.ncsc.gov.uk/guidance/meltdown-and-spectre-guidance
https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html
همچنین تا این لحظه اصلاحیهها / توصیهنامههای زیر عرضه شدهاند:
Amazon:
https://aws.amazon.com/security/security-bulletins/AWS-2018-013/
AMD:
https://www.amd.com/en/corporate/speculative-execution
Android:
https://source.android.com/security/bulletin/2018-01-01
ARM:
https://developer.arm.com/support/security-update
Bitdefender:
https://businessinsights.bitdefender.com/meltdown-and-spectre-decades-old-cpu-design-flaws-put-businesses-at-risk
CentOS:
https://lists.centos.org/pipermail/centos-announce/2018-January/date.html
Chromium:
https://www.chromium.org/Home/chromium-security/ssca
Citrix:
https://support.citrix.com/article/CTX231399
F5:
https://support.f5.com/csp/article/K91229003
Google:
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
Huawei:
http://www.huawei.com/en/psirt/security-notices/huawei-sn-20180104-01-intel-en
Intel:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
Lenovo:
https://support.lenovo.com/us/en/solutions/len-18282
Linux:
https://lkml.org/lkml/2017/12/4/709
Microsoft Azure:
https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/
McAfee:
https://kc.mcafee.com/corporate/index?page=content&id=KB90167
Microsoft Windows:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
NVIDIA:
http://nvidia.custhelp.com/app/answers/detail/a_id/4609
OpenSuSE:
https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html
Sophos:
https://community.sophos.com/kb/en-us/128053
SuSE:
http://lists.suse.com/pipermail/sle-security-updates/2018-January/date.html
VMware:
https://www.vmware.com/security/advisories/VMSA-2018-0002.html
Xen:
http://xenbits.xen.org/xsa/advisory-254.html
منبع : شبکه گستر
