اخبار

۸ مورد آسیب پذیری نسل جدید Spectre در پردازنده‌های اینتل یافت شد

یک گروه از محققان حوزه امنیت، 8 مورد جدید از آسیب پذیریSpectre-NG را در سی پی یو های اینتل کشف کردند که بر تعدادی از پردازشگرهای ARM و همچنین بر طراحی پردازشگر AMD هم ممکن است تاثیر گذار باشند.

نسل جدید آسیب پذیری پردازنده‌ها به نام Dubbed-Spectre یا Spectre-NG برای اولین بار توسط روزنامه نگاران آلمانی مجله کامپیوتر Heise منتشر شد که در این مجله مطرح کردند که اینتل چهار مورد آسیب پذیری “پرخطر” و چهار مورد” متوسط” دسته بندی کرده است.

نقص های جدید سی پی یو از یک مشکل در طراحی ناشی می‌شوند که باعث ایجاد نقص Spectre اصلی می شوند. اما در این گزارش بیان شده است که یکی از نقص‌هایی که اخیرا کشف شده است به هکر ها امکان دسترسی به یک ماشین مجازی (VM) را فراهم می آورد تا به آسانی بتوانند سیستم میزبان را هدف قرار دهند و آن را آسیب پذیرتر از سیستم اصلی  Spectre کنند.

در این گزارش آمده است که این نقص می تواند VM های سایر مشتریان استفاده کننده از سرور را نیز مورد حمله قرار دهد. رمزهای عبور و کلیدهای امنیتی برای انتقال مطمئن اطلاعات از اهداف اطلاعاتی در سیستم های ابری هستند و با این شکاف در معرض خطر قرار می گیرند. به هر حال، آسیب پذیری های بیان شده می‌تواند به آسانی در حملات مرزهای یک سیستم شناسایی شوند و پتانسیل‌های تهدید را به یک سطح جدید ارتقا دهند. مشتریان خدمات ابری مثل آمازون یا Cloudflare بیشتر تحت تاثیر قرار می گیرند.

بهتر است بدانید که آسیب پذیری Spectre  که در اوایل امسال گزارش شد متمرکز بر یک حمله کانالی در موتور اجرایی پردازشگر است که به برنامه معیوب اجازه می دهد تا اطلاعات حساس مثل رمز عبور – کلیدهای رمز گذاری یا اطلاعات مهم کرنل را بخواند

اگرچه سایت آلمانی، اسم محققان امنیتی یا تیم و شرکت آنها را که این نقش را گزارش کرده بودند افشا نکرد، اما یکی ازنقاط ضعف کشف شده توسط محققان امنیتی در Google’s Project Zero را افشا کردند.

همچنین این سایت بیان کرد که محققان امنیتی گوگل گزارش داده‌اند که این نقص برای برنامه‌ها به ۸۸ روز قبل بر می‌گردد که دلالت بر این دارد که محقق جزئیات یک نقص را در ۷ می گزارش کرده است و در این زمان پنجره افشای ۹۰ روزه بسته خواهد شد. این تاریخ یک روز قبل از Windows Patch day است.

افشای آسیب پذیری(Spectre-NG)  برای خریداران، یک اقدام خوب است . اما به نظر می رسد محققانی که سری جدید از نقص گروه Spectre را کشف کرده اند از افشای نام خود جلوگیری می کنند تا از مطرح شدن انتقادات رسانه‌ای توسطCTSlabs  بعد از افشای جزئیات نقص AMD و وب سایت ها – گرافیک ها و فیلم های تحت  تاثیر قرار گرفته پیشگیری کنند.

 

واکنش اینتل در برابر نقص های Spectre-NG

 وقتی که از سازنده برنامه در مورد یافته های اخیر سوال شد جملات زیر را بیان کرد که نه تائید کننده وجود Spectre-NG است و نه آن ها را تکذیب می کند.

“حفظ اطلاعات مشتریان و اطمینان از امنیت محصولات از اولویت‌های اصلی ما می باشد.‌ ما در ارتباط تنگاتنگ با مشتریان – شرکا و سایر قطعه سازان و محققان کار می کنیم تا مشکلات را شناسایی کنیم و آنها را حل کنیم و بخشی از این فرایند شامل حفظ اعداد CVE است.”

“ما شدیدا به ارزش افشای اطلاعات متناسب و اشتراک گذاری اطلاعات بیشتر در مورد مشکلات احتمالی و کاهش مشکلات معتقد هستیم و به عنوان بهترین اقدام سعی می کنیم تا افراد را تشویق کنیم تا سیستم های خود را به روز نگه دارند.”

با این حال ، وقتی که از Heise در مورد آسیب پذیری‌های مشترک و قرار گیری در معرض خطر(CVE)  برای Spectre-NG پرسیده شد، روزنامه نگار از بیان اطلاعات و جزئیات اجتناب کرد و این گونه نظر داد که :

“CVE های کنونی اعداد برهنه بدون ارزش افزوده هستند.” به عبارت دیگر، مقالات منتشر شده به معنای وجود خطر برای منابع ما است و ما در صدد اجتناب از این خطرات هستیم و این عامل دلیل تصمیم گیری ما در حال حاضر است. البته ما این دوره را تایید می کنیم.”

 

فشار برای ارائه بسته های امنیتی جدید

به مراتب گزارش شده است که آسیب پذیری های Spectre-NG بر سی پی یوهای اینتل تاثیر می گذارند و شاخص هایی وجود دارند که با توجه به آنها بیان می شود که پردازشگرهای ARM تایید شده اند.

 با توجه به مطالب بیان شده در سایت آلمانی، اینتل اخیرا وجود آسیب پذیری در Spectre-NG را تایید کرده است و در حال برنامه ریزی برای ارائه بسته های امنیتی است که یکی از برنامه‌ها در ماه می و دیگری برای آگوست برنامه ریزی شده اند.

همچنین، مایکروسافت برنامه ریزی کرده است تا مشکلات را با استفاده از یک بسته امتیتی از طریق به روز رسانی ویندوز در ماه های آینده حل کند.

به هر حال، مشخص نیست که آیا استفاده از بسته‌های جدید مجددا بر عملکرد ابزار آسیب پذیر تاثیری می گذارد که بر برنامه اصلی Spectre و Meltdown در ابتدای سال می گذارد.

نسرین ذاکری
نویسندهنسرین ذاکری

دیدگاهتان را بنویسید