هشدار اینتل در مورد نصب وصله‌های ناقص Meltdown و Spectre

کمیته رکن چهارم – وصله‌های اینتل برای آسیب‌پذیری‌های پردازنده‌ی Spectre‌ و Meltdown را نصب نکنید!

روز دوشنبه اینتل هشدار داد که باید از راه‌اندازی نسخه‌ی فعلی وصله‌های Spectre‌ و Meltdown که لینوس توروالدز، آن را کاملاً زباله می‌نامد، خودداری کنید.

در واقع Spectre‌ و Meltdown آسیب‌پذیری‌های امنیتی هستند که پژوهشگران در اواخر ماه جاری در بسیاری از پردازنده‌های اینتل، ARM و AMD مورد استفاده در رایانه‌های شخصی پیش‌رفته، کارگزارها و گوشی‌های هوشمند کشف کردند، که این آسیب‌پذیری‌ها امکان سرقت گذرواژه‌ها، کلیدهای رمزنگاری و سایر اطلاعات شخصی را به مهاجمان می‌دهند.

از هفته‌ی گذشته، کاربران گزارش می‌دهند که پس از نصب وصله‌های Spectre‌ و Meltdown اینتل، آن‌ها با مسائلی مانند راه‌اندازی مجدد خود به خود و سایر رفتارهای غیرقابل پیش‌بینی سامانه در رایانه‌های آسیب‌دیده‌ی خود مواجه می‌شوند.

با توجه به این مشکلات، اینتل به OEMها، ارائه‌دهندگان خدمات ابری، تولیدکنندگان سامانه، شرکت‌های نرم‌افزاری و همچنین کاربران نهایی توصیه کرده است که از راه‌اندازی نسخه‌های فعلی وصله‌های آن خودداری کنند تا غول تراشه راه‌حلی برای رفع این مشکل ارائه دهد.

اینتل در گزارشی  که روز دوشنبه منتشر شد گفت: «ما اکنون علت اصلی مشکل بسترهای Broadwell  و Haswell را شناسایی کرده‌ایم، و در ارائه‌ی راه‌حل برای رفع آن پیشرفت خوبی کرده‌ایم.

در اواخر هفته‌ی گذشته، ما نسخه‌ی اولیه‌ی راه‌حل به‌روزرسانی‌شده را برای آزمایش به شرکای صنعتی ارائه دادیم، و پس از اتمام آزمایش، نسخه‌ی نهایی را در دسترس عموم قرار خواهیم داد.»

لینوس توروالدز وصله‌های Spectre‌ و Meltdown اینتل را زباله می‌نامد

در همین حال، در یک مکاتبه‌ی رایانامه‌ای عمومی، لینوس توروالدز شکایت می‌کند که از رویکرد اینتل در مورد محافظت از هسته‌ی لینوکس در برابر آسیب پذیری‌های Spectre‌ و Meltdown راضی نیست و می‌گوید: «این وصله‌ها واقعاً چیزهای احمقانه‌ای هستند. آن‌ها کارهایی انجام می‌دهند که منطقی نیست. من واقعاً نمی‌خواهم این وصله‌های زباله را که بدون هیچ فکری منتشر می‌شوند، ببینم و فکر می‌کنم ما به چیزی بهتر از این زباله‌ها نیاز داریم.»

وصله‌های اینتل در زمان راه‌اندازی رایانه از کاربر می‌خواهد تا به صورت دستی انتخاب کند و وصله را فعال کند، در حالی که وصله‌های امنیتی برای یک چنین آسیب‌پذیری بحرانی باید به صورت خودکار اعمال شود.

این مسأله به این دلیل است که وصله‌های سخت‌افزاری که به عنوان به‌روزرسانی‌های میکروکد پردازنده توسط اینتل ارائه شد بسیار ناکارآمد است و در نتیجه در صورت انتشار و اجرای آن‌ها شاهد کاهش عملکرد سامانه‌ها خواهیم بود.

به عبارت دیگر، برای جلوگیری از عملکرد بد در آزمایش معیارهای مختلف، اینتل امکان انتخاب بین عملکرد یا امنیت را به کاربران می‌دهد.

وصله‌های جدید اینتل به زودی در درسترس عموم قرار خواهد گرفت.

منبع : news.asis.io