Güvenlik araştırmacılarından oluşan bir ekibin, Intel CPU’larda toplamda en az az sayıda ARM işlemcisini etkileyen ve AMD işlemci mimarisini de etkileyebilecek toplam sekiz yeni ” Spectre sınıfı ” güvenlik açığını bulduğu bildirildi . Specter-Next Generation veya Specter-NG adlı Dublaj , güvenlik açıklarının kısmi detayları ilk olarak Alman bilgisayar dergisi Heise’de gazetecilere sızdı. Bu, Intel’in yeni güvenlik açıklarını dördünde “yüksek riskli” olarak sınıflandırdığını ve dördün “orta” olarak kaldığını iddia ediyor.”
Yeni CPU kusurlarının orijinal Spectre kusuruna neden olan aynı tasarım sorunundan kaynaklandığı bildiriliyor , ancak rapor yeni keşfedilen kusurlardan birinin saldırganların bir sanal makineye (VM) erişimi kolay bir şekilde ana bilgisayar sistemini hedeflemesine olanak sağladığını ve bu sayede potansiyel olarak daha fazla olacağını iddia ediyor. Orijinal Spectre güvenlik açığından daha tehdit edici.
“Alternatif olarak, aynı sunucu üzerinde çalışan diğer müşterilerin VM’lerini saldırabilecek. Güvenli veri iletimi için Şifreler ve gizli anahtarlar yüksek bulut sistemlerinde hedeflerin sonrası aranır ve akut bu boşluktan tarafından tehlike altında,” raporun okur .
“Ancak, yukarıda belirtilen Spectre-NG savunmasızlığı sistem sınırları içindeki saldırılara karşı kolayca kullanılabilir, bu da tehdit potansiyelini yeni bir düzeye çıkarır. Amazon veya Cloudflare gibi bulut hizmet sağlayıcıları ve tabii ki müşterileri özellikle etkilenir.”
Farkında değilseniz, bu yılın başlarında raporlanan Spectre savunmasızlığı , bir işlemcinin spekülatif yürütme motoru üzerindeki yan kanal saldırısına dayanır ve kötü niyetli bir programın parolalar, şifreleme anahtarları veya hassas bilgiler gibi hassas bilgileri okumasına izin verir. çekirdeğin dahil.
Alman sitesi, bu kusurları Intel’e bildiren güvenlik araştırmacılarının (ya da ekibin / şirketin) adını açıklamadıysa da, Google’ın Project Zero’sunda bir güvenlik araştırmacısı tarafından keşfedilen zayıflıklardan birini ortaya çıkardı.
Site ayrıca, Google güvenlik araştırmacısının yaklaşık 88 gün önce çip üreticilerine yönelik kusuru rapor ettiğini iddia etti. Bu da araştırmacının, 90 günlük açıklama penceresinin kapatılacağı 7 Mayıs’taki en az bir kusurun ayrıntılarını açıklayabileceğini gösteriyor. Salı günü Windows Patch’ten önceki gün.
Specter NG güvenlik açıklarının satıcılara karşı sorumlu bir şekilde ifşa edilmesi kesinlikle iyi bir uygulama, ancak yeni sınıftaki Zorluk sınıfı kusurları keşfeden araştırmacıların, erken çıkacak isimlerden kaçınıyor gibi görünüyor – belki de medya eleştirilerini bir diğerinin karşı karşıya getirmesini engellemek CTS Labs , AMD kusurlarının kısmi ayrıntılarını özel web sitesi, güzel grafikler ve videolar ile açıkladıktan sonra.
Yeni Güvenlik Yamaları İçin Brace
Specter-NG güvenlik açıklarının Intel işlemcilerini etkilediği bildirildi ve en azından bazı ARM işlemcilerin sorunlara karşı hassas olduklarına dair işaretler de var, ancak AMD işlemcileri üzerindeki etki henüz doğrulanmadı.
Alman sitesine göre, Intel yeni Specter-NG güvenlik açıklarını zaten kabul etti ve vardiyalarda güvenlik düzeltme eki yayınlamayı planlıyor – bir Mayıs’ta ve ikincisi şu anda Ağustos ayı için planlanıyor.
Microsoft ayrıca, önümüzdeki aylarda Windows güncellemeleriyle bir güvenlik düzeltme eki yayınlayarak sorunları düzeltmeyi de planlıyor.
Ancak, yeni yamaların uygulanmasının, bu yılın başlarındaki orijinal Spectre ve Erime Gecikmesi güvenlik açıklarında olduğu gibi, savunmasız cihazların performansını bir kez daha etkilemesi durumunda, şu anda bilinmemektedir.