کمیته رکن چهارم – شرکت AMD و مایکروسافت سه شنبه ی این هفته میکروکدها و به روزرسانی هایی را برای سیستم عامل ویندوز منتشر کرده اند تا از کاربران در برابر حملات مبتنی بر آسیب پذیری Spectre محافظت کنند.
به گزارش کمیته رکن چهارم،زمانی که کشف آسیب پذیری های Spectre و Meltdown اعلام شد، شرکت MAD تاثیر این آسیب پذیری ها بر روی محصولات خود را خفیف گزارش کرد ولی قول داد در قالب میکروکدها و به روزرسانی های سیستم عامل، در پردازنده های آتی خود راه کارهایی را برای این مشکلات ارائه دهد.
حملات Meltdown مبتنی بر یک آسیبپذیری با شناسهی CVE-2017-5754 هستند در حالیکه حملات Spectre به دلیل وجود آسیبپذیریهای نسخهی ۱ با شناسهی CVE-2017-5753 و نسخهی ۲ با شناسهی CVE-2017-5715 هستند. در مورد پردازندههای شرکت AMD باید اعلام کنیم که این محصولات به لطف طراحی که داشتهاند، تحت تاثیر آسیبپذیری Meltdown قرار نگرفتهاند و نسخهی ۱ از آسیبپذیری Spectre با بهروزرسانیهای نرمافزاری قابل وصله است.
وصلهی نسخهی ۲ از آسیبپذیری Spectre مبتنی بر ترکیبی از میکروکدها و بهروزرسانیهای سیستم عامل بوده که سهشنبهی این هفته توسط شرکت AMD و مایکروسافت منتشر شده است. این شرکت اعلام کرده هرچند ما بر این باوریم که بهرهبرداری از نسخهی ۲ آسیبپذیری Spectre بر روی پردازندههای MAD کار مشکلی است ولی با این حال، همراه با شرکای خود تلاش کردیم تا این مشکل را از طریق انتشار میکروکدها و بهروزرسانیهای سیستم عامل برای آینده برطرف کنیم و ریسکها را به حداقل برسانیم.
بهروزرسانی میکروکدها را میتوان از طریق بهروزرسانی BIOS این شرکت تولیدکننده دریافت کرد و سیستمهای اولیه با هستهی Bulldozer که سال ۲۰۱۱ میلادی منتشر شد تا سیستمهای فعلی را شامل میشود. در بهروزرسانی امنیتی که مایکروسافت روز سهشنبه منتشر کرده، نسخهی ۲ آسیبپذیری Spectre در ویندوز ۱۰ برای پردازندههای AMD وصله شده است. به نظر میرسد پس از یک سری بررسی و تست، این بهروزرسانیها برای ویندوز سرور ۲۰۱۶ نیز در دسترس قرار بگیرد.
شرکت مایکروسافت به محض گزارش این آسیبپذیریها، در تلاش بود برای پردازندههای AMD بهروزرسانیها و وصلههایی را برای آسیبپذیری Spectre منتشر کند ولی در ادامه مجبور شد این بهروزرسانیها را به حالت تعلیق درآورد چرا که نصب این بهروزرسانیها، بیثباتیهایی را در سیستم کاربران به دنبال داشت. وصلهی این آسیبپذیری در پردازندههای AMD بر روی سیستمهای لینوکس نیز اوایل سال جاری منتشر شده است.
منبع:uucert
