Meltdown and Spectre: פריצת שבב מקבלת שם, תיקון חירום והצהרה רשמית ממיקרוסופט
3 דקות לקרוא
עודכן בתאריך
שתף את המאמר הזה
שפר את המדריך הזה
קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד
הסיפור על הפגיעות האדירה כמעט בכל מחשב אישי וככל הנראה גם בטלפון ב-20 השנים האחרונות מתגלה במהירות היום ופרטים נוספים נחשפו כעת על ידי שני חוקרי אבטחה במרכז הגילוי.
המכונים "Meltdown" ו-"Spectre", וב"כמעט בכל מערכת", הפגיעות קיימת ככל הנראה מאז 1995 ומאפשרת להאקרים לגשת לנתונים מכל מקום בזיכרון הפיזי של מערכת.
"ייתכן שתוקף יוכל לגנוב כל מידע במערכת", אמר דניאל גרוס, חוקר אבטחה.
הצוות אישר שלא רק שבבי אינטל מושפעים מחלק מהשבבים, אבל לא כל שבבי AMD גם פגיעים. עם זאת, AMD אמרה: "בשל הבדלים בארכיטקטורה של AMD, אנו מאמינים שיש סיכון כמעט אפסי למעבדי AMD בשלב זה."
ARM הוסיפה כי חלק מהמעבדים שלה, כולל שבבי Cortex-A שלה, מושפעים. ליבות Cortex-A משמשות גם בסדרת Snapdragon הפופולרית של קוואלקום.
באמצעות הפריצה של Meltdown, יישום חסר זכויות כמו קוד Javascript יכול לקרוא את הסיסמאות שלך מהזיכרון ולייצא אותן לכל מקום באינטרנט. מוזילה אישרה זאת מתקפה מבוססת Javascript אפשרית ומתקנים את Firefox כדי למתן את זה. אינטל אמרה שתוקפים לא יוכלו לשנות את זיכרון ה-RAM של מחשב או טלפון, מה שיגביל במידת מה את הנזק. עם זאת, ספקטר יכול להערים על יישומים לחשוף מידע.
נכון לעכשיו, מרכז אבטחת הסייבר הלאומי של בריטניה אמר שאין עדות לניצול זדוני בטבע, אך בהתחשב בהיקף הפגיעות, אנו מניחים שהאקרים ממהרים לייצר קוד ניצול, כאשר קוד הוכחת קונספט כבר שוחרר בטוויטר על ידי חוקר האבטחה אריק בוסמן.
הפרטים המלאים של הפגיעות פורסמו כעת כאן.
מיקרוסופט פרסמה תיקון אבטחה מחוץ לתחום כדי לטפל בבעיה, ואמרה בהצהרה:
אנו מודעים לנושא הענף הזה ועבדנו בשיתוף פעולה הדוק עם יצרני השבבים כדי לפתח ולבחון אמצעי מניעה כדי להגן על הלקוחות שלנו. אנו נמצאים בתהליך של פריסת אמצעי מניעה לשירותי ענן וגם פרסמנו עדכוני אבטחה כדי להגן על לקוחות Windows מפני נקודות תורפה המשפיעות על שבבי חומרה נתמכים של אינטל, ARM ו-AMD. לא קיבלנו שום מידע המצביע על כך שפגיעויות אלו שימשו כדי לתקוף את הלקוחות שלנו.
על פי הדיווחים, אפל תיקנה את הפגם ב-macOS 10.13.2 ותיקונים למערכות לינוקס זמינים גם הם ומעבדים חדשים צפויים להיות מהונדסים מחדש כדי לטפל בבעיה.
התיקון של Windows 10 יוחל אוטומטית בשעה 5:2 ET / XNUMX:XNUMX PT היום, בעוד טלאים עבור גרסאות ישנות יותר של Windows יושקו ביום שלישי של תיקון. מיקרוסופט לא אמרה אם הם יתקנו את Windows XP.
לתיקון יש פוטנציאל להאט את פעולת המחשבים האישיים, אבל מעבדים חדשים יותר כמו Skylake מושפעים פחות, ולא כל המשימות מושפעות באותה מידה, כאשר משימות כמו גישה להרבה קבצים קטנים מושפעות יותר מאשר פשוט גלישה למשל.
בעוד שהפגיעות נמכרה כבעיה של אינטל בתחילה, מחשבים אישיים הרבה יותר קלים לתיקון מאשר שפע טלפונים אנדרואיד שכבר לא מקבלים עדכונים, מה שמרמז, בסופו של דבר, זה עשוי להפוך לבעיית טלפון גם בעתיד.
דניאל גרוס, שציין עד כמה קשה להפחית את התקפות ספקטר, אמר שהבעיה "הולך לרדוף אותנו במשך שנים".
