آخرین اخبار
صفحه اصلی
اخبار

وصله شدن آسیب‌پذیری‌های Spectre و Meltdown برای کارگزارهای Power توسط آی‌بی‌ام

تاریخ:
در: اخبار, اسلاید, امنیت سایبری
دیدگاهتان را بنویسید:
777 نمایش ها

کمیته رکن چهارم – درحالی‌که اضافه کردن محافظت از یک آسیب‌پذیری جدید، بستر همکاری Notes را تحت تاثیر قرار می‌داد، آی‌بی‌ام درنهایت وصله‌هایی برای رفع آسیبپذیری‌های Spectre و Meltdown بر روی خط کارگزار Power خود را منتشر کرد.

آسیب‌پذیری‌های Spectre و Meltdown که برای اولین بار در اوایل سال جاری عمومی شدند، مدیران سامانه‌ها را بر این داشتند که وصله‌ای را برای این اشکال‌ها منتشر کنند، اما این فرایند با این واقعیت که چندین وصله بعدها مشکلات جدیدی برای برخی از سامانه‌ها به‌وجود آورد، پیچیده‌تر شد.

آی‌بی‌ام که به‌نظر می‌رسد وقت خود را برای آماده کردن وصله‌های جدید صرف کرده است، اعلام کرده است که برای اجرای حملات افشای اطلاعات از طریق کانال جانبی، از روش‌های اجرای نظری استفاده کرده است.

این شرکت در مشاوره‌ی امنیتی خود که روز شنبه منتشر شد، اظهار داشت: «دو آسیب‌پذیری اول که با شناسه‌های CVE-۲۰۱۷-۵۷۵۳ و CVE-۲۰۱۷-۵۷۱۵ ردیابی می‌شوند، به‌طور کلی با عنوان Spectre شناخته شده و به‌دست آوردن داده‌ها از حافظه‌ی غیرمجاز را ممکن می‌سازند؛ آسیب‌پذیری سوم که با شناسه‌ی CVE-۲۰۱۷-۵۷۵۴ ردیابی شده و با عنوان Meltdown شناخته شده است، به کد سطح کاربر اجازه می‌دهد تا به محتویات حافظه‌ی هسته برسد. تمامی این آسیب‌پذیری‌ها از دسته‌ی حملات مشابهی هستند و تنها در روش اجرای بهره‌برداری تفاوت دارند.»

«این آسیب‌پذیری‌ها به یک شخص خارجی غیرمجاز اجازه نمی‌دهند که به ماشین دسترسی پیدا کند، اما می‌توانند به یک فرد اجازه دهند که به‌منظور دسترسی به داده‌های غیرمجاز، به سامانه دسترسی داشته باشد.»

آی‌بی‌ام گفت که مشتریان کارگزار Power باید این وصله‌ها را بر روی ثابت‌افزار و سامانه‌های عامل خود نصب کنند.

وصله‌های ثابت‌افزار برای Power۷، Power۸ و Power۹ و نیز وصله‌های سامانه‌ی عامل آی‌بی‌ام i از طریق FixCentral در دسترس هستند.

وصله‌های سامانه‌ی عامل AIX از یک وب‌گاه جداگانه موجود هستند، درحالی‌که وصله‌های سامانه‌ی عامل لینوکس از طریق همکاری با RedHat، SUSE و Canonical در دسترس می‌باشند.

همچنین آی‌بی‌ام مجبور شده است که یک وصله‌ی موقت برای یک آسیب‌پذیری که با شناسه‌ی CVE-۲۰۱۷-۱۷۱۱ ردیابی شده و امتیازCVSS  برابر با ۵.۳ دارد، منتشر کند. این شرکت، این آسیب‌پذیری را با عنوان «بسیار تاثیرگذار / با احتمال وقوع متوسط» تفسیر می‌کند.

این شرکت اشاره می‌کند: « iNotes SUService آی‌بی‌ام می‌تواند کد مخرب یک DLL ظاهر شده به‌صورت یک DLL ویندوز در دایرکتوری temp را به اشتباه اجرا کند.»

این آسیب‌پذیری، نسخه‌های ۸.۵.x و ۹.۰.x از  برنامه‌ی Notes آی‌بی‌ام را تحت تاثیر قرار می‌دهد.

منبع : news.asis.io

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.