פרטים ותיקונים לגבי פגיעויות חדשות במעבד
קריאה של 2 דקות
Spectre and Meltdown היו הראשונים ובכל שבוע שעבר מקבלים אישורים על נקודות תורפה חדשות. האחרונה שבהן אושרה על ידי גוגל ומיקרוסופט, Specter Variant 4 ו- Meltdown Variant 3a. וריאנט של ספקטר 4 נקרא גם מעקף החנות הספקולטיבית. ניצול זה מאפשר להאקר לקבל גישה למידע באמצעות מנגנון הביצוע הספקולטיבי של מעבד.
המידע בנוגע למשתנה 3a של Meltdown מגיע ממרכז פרויקט אפס של גוגל ומרכז התגובה של מיקרוסופט. ליבות ARM של Cortex-A15, -A57 ו- -A72 הושפעו מבעיה זו. אם כבר מדברים על Spectre Variant 4 יש מגוון רחב של מעבדים שהושפעו. על פי המסמך שפורסם מאינטל:
CVE-2018-3639 - מעקף חנות ספקולטיבי (SSB) - המכונה גם וריאנט 4
מערכות עם מיקרו-מעבדים המשתמשות בביצוע ספקולטיבי וביצוע ספקולטיבי של זיכרון שקוראים לפני שכתובות כל כתיבת הזיכרון הקודמות ידועות עשויות לאפשר גילוי בלתי מורשה של מידע לתוקף עם גישה למשתמש מקומי באמצעות ניתוח ערוץ צדדי.
לדברי אינטל, Spectre Variant 4 מהווה סיכון אבטחה בינוני מכיוון שרבים מהמעללים בהם היא משתמשת כבר טופלו. אינטל הצהירה עוד כי:
הפחתה זו תוגדר כברירת מחדל, ותאפשר ללקוחות לבחור אם לאפשר זאת. אנו מצפים שרוב שותפי התוכנה בתעשייה ישתמשו באותה מידה באפשרות כיבוי ברירת המחדל. בתצורה זו לא ראינו השפעה על הביצועים. אם הדבר מופעל, ראינו השפעת ביצועים של כ -2 עד 8 אחוזים בהתבסס על ציונים כלליים עבור אמות מידה כמו SYSmark (R) 2014 SE ושיעור שלם של SPEC במערכות בדיקה client1 ו- server2.
Spectre Variant 4 לא משפיע רק על מעבדי אינטל, אלא גם על AMD, ARM ו- IBM. AMD אישרה כי מעבדים ברחבי הלוח הושפעו כל הדרך חזרה לדור הראשון של הדחפור, זה לא סימן טוב, אך למרבה המזל ניתן לתקן את הבעיות הללו. אחרי שאמרנו את כל זה, יש עדיין 6 נקודות תורפה נוספות שלא סיפרו לנו עליהן, אך עליהן להתפרסם בשבוע הקרוב.
ספר לנו מה אתה חושב על Spectre Variant 4 ו- Meltdown variant 3a ומה אתה חושב שצריך לעשות כדי להגן על הצרכנים המשתמשים בשבבים המושפעים מפגיעות אלה.
מָקוֹר אינטל תגים אינטל
