8 Mai multe defecte de tip spectru găsite în jetoanele Intel (raport)

Dacă ați crezut că Intel pune defectele Spectre și Meltdown în spatele ei, ei bine, nimic nu este niciodată atât de simplu. Potrivit unui raport al revistei germane de calculatoare C'T, Intel intenționează să abordeze opt vulnerabilități noi care decurg din aceeași problemă de proiectare din procesorele sale care au dus la Spectre și Meltdown și a rezervat o serie de numere de vulnerabilități și expuneri comune (CVE). pentru ei.

La 3 mai, vicepreședintele executiv Intel și directorul general pentru asigurarea și securitatea produselor, Leslie Culbertson, a emis o declarație cu privire la potențiale noi probleme de securitate:

„Protejarea datelor clienților noștri și asigurarea securității produselor noastre sunt priorități critice pentru noi”, a scris Culbertson. „Lucrăm în mod curent îndeaproape cu clienții, partenerii, alți producători de cipuri și cercetători pentru a înțelege și a atenua orice probleme identificate, iar o parte a acestui proces presupune rezervarea blocurilor de numere CVE.

"Credem cu tărie în valoarea dezvăluirii coordonate și vom împărtăși detalii suplimentare cu privire la orice probleme potențiale pe măsură ce finalizăm atenuările. Ca o bună practică, continuăm să încurajăm pe toată lumea să își mențină sistemele actualizate."

Deși se pare că majoritatea problemelor se află la același nivel de risc ca Spectre, care poate crește destul de ridicat, există un nugget interesant: un defect care ar permite cu ușurință unui hacker rău intenționat să exploateze codul într-o mașină virtuală și să atace sistemul gazdă, indiferent dacă fii un singur PC sau, să zicem, serverul unei mari corporații și intră în mai multe mașini virtuale în acest fel.

„Deși atacurile asupra altor VM-uri sau a sistemului gazdă erau deja posibile în principiu cu Spectre, implementarea reală a necesitat atât de multe cunoștințe prealabile încât a fost extrem de dificilă”, a spus versiunea în limba engleză a povestii C'T. "Cu toate acestea, vulnerabilitatea Specter-NG menționată mai sus poate fi exploatată destul de ușor pentru atacuri peste granițele sistemului, ridicând potențialul de amenințare la un nou nivel."

C'T se referă la cele opt vulnerabilități ca Spectre-NG (Next Generation), dar acesta pare a fi un nume alcătuit din partea revistei. Revista sugerează că fiecare vulnerabilitate își poate obține propriul nume și probabil vor exista opt patch-uri diferite - unul pentru fiecare număr.

Raportul afirmă că primul val de patch-uri ar putea intra în vigoare în mai (următoarea Patch Tuesday de la Microsoft pentru Windows 10 este marți, 8 mai), în timp ce restul sunt pregătite pentru august.

Raportul sugerează că unele cipuri ARM pot fi vulnerabile la defectele Spectre-NG și că AMD cercetează dacă acest lucru îi afectează și procesoarele. Meltdown a afectat câteva cipuri ARM și AMD.

Însă Spectre afectează aproape fiecare procesor din ultimele două decenii și, dacă aceste noi rapoarte sunt corecte, nu vom zgudui vulnerabilități similare în curând, până când nu va exista o reproiectare cu ridicata a procesorelor.

„Se pare că pentru fiecare problemă rezolvată, apar alte două”, se spunea în articolul C'T. „În ultimii douăzeci de ani, considerațiile de siguranță au jucat doar a doua lăutărie a performanței în dezvoltarea procesorului.”

Credit de imagine: BeeBright / Shutterstock