پردازشگرهای دو دهه اخیر، آسیب‌پذیر به دو ضعف امنیتی حیاتی

کمیته رکن چهارم – شرکت Google جزئیاتی را منتشر کرده که بر اساس آن تمامی پردازشگرهای عرضه شده از سال ۱۹۹۵ به بعد به دو ضعف امنیتی با نام‌های Meltdown و Spectre آسیب‌پذیر هستند.

به گفته Google هر دوی این ضعف‌ها، مهاجم را قادر به سرقت داده‌های حساسی می‌کنند که توسط CPU در حال پردازش شدن هستند.

همچنین بررسی‌های Google نشان می‌دهد که امکان سرقت داده‌های در حال پردازش ماشین‌های مجازی دیگر از روی یک ماشین مجازی بر روی سروری واحد در بسترهای رایانش ابری نیز فراهم است.

آسیب‌پذیری‌های مذکور هر چند سخت‌افزاری گزارش شده‌اند اما ترمیم آنها مستلزم عرضه اصلاحیه برای ثابت‌افزار (Firmware) توسط سازندگان پردازشگر و همچنین ارائه به‌روزرسانی توسط سازندگان سیستم عامل و برخی برنامه‌ها است.

در گزارش Google همه چیز و همه کس به Meltdown و Spectre آسیب‌پذیر توصیف شده‌اند. سازندگان اصلی پردازشگرها همچون Intel و AMD و سیستم‌های عامل اصلی نظیر Windows،و Linux و Mac و حتی ارائه‌دهندگان خدمات رایانش ابری از جمله Amazon و Microsoft همگی با این دو ضعف امنیتی دست به گریبان هستند که البته برخی از آنها اقدام به انتشار توصیه نامه کرده اند.

در حال حاضر Intel ابزاری را برای بررسی وجود ضعف‌های امنیتی Meltdown و Spectre و حل موقت اشکال بر روی دستگاه‌های با پردازشگر ساخت این شرکت ارائه کرده که از طریق لینک‌های زیر قابل دریافت هستند:

INTEL-SA-00075 Detection and Mitigation Tool (Windows)
INTEL-SA-00075 Linux Detection and Mitigation Tools (Linux)

جزئیات بیشتر در مورد دو آسیب‌پذیری مذکور در لینک‌های زیر قابل دریافت و مطالعه است:

https://meltdownattack.com
https://spectreattack.com
https://www.kb.cert.org/vuls/id/584653
https://www.ncsc.gov.uk/guidance/meltdown-and-spectre-guidance
https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html

همچنین تا این لحظه اصلاحیه‌ها / توصیه‌نامه‌های زیر عرضه شده‌اند:

Amazon:
https://aws.amazon.com/security/security-bulletins/AWS-2018-013/

AMD:
https://www.amd.com/en/corporate/speculative-execution

Android:
https://source.android.com/security/bulletin/2018-01-01

ARM:
https://developer.arm.com/support/security-update

Bitdefender:
https://businessinsights.bitdefender.com/meltdown-and-spectre-decades-old-cpu-design-flaws-put-businesses-at-risk

CentOS:
https://lists.centos.org/pipermail/centos-announce/2018-January/date.html

Chromium:
https://www.chromium.org/Home/chromium-security/ssca

Citrix:
https://support.citrix.com/article/CTX231399

F5:
https://support.f5.com/csp/article/K91229003

Google:
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

Huawei:
http://www.huawei.com/en/psirt/security-notices/huawei-sn-20180104-01-intel-en

IBM:
https://exchange.xforce.ibmcloud.com/collection/Central-Processor-Unit-CPU-Architectural-Design-Flaws-c422fb7c4f08a679812cf1190db15441

Intel:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

Lenovo:
https://support.lenovo.com/us/en/solutions/len-18282

Linux:
https://lkml.org/lkml/2017/12/4/709

Microsoft Azure:
https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/

McAfee:
https://kc.mcafee.com/corporate/index?page=content&id=KB90167

Microsoft Windows:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

NVIDIA:
http://nvidia.custhelp.com/app/answers/detail/a_id/4609

OpenSuSE:
https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html

Red Hat:
https://access.redhat.com/security/security-updates/#/security-advisories?q=&p=1&sort=portal_publication_date%20desc&rows=10&documentKind=PortalProduct

Sophos:
https://community.sophos.com/kb/en-us/128053

SuSE:
http://lists.suse.com/pipermail/sle-security-updates/2018-January/date.html

Trend Micro:
https://success.trendmicro.com/solution/1119183-important-information-for-trend-micro-solutions-and-microsoft-january-2018-security-updates

VMware:
https://www.vmware.com/security/advisories/VMSA-2018-0002.html

Xen:
http://xenbits.xen.org/xsa/advisory-254.html

منبع : شبکه گستر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.