به تازگی، محققان دریافتند که برای امنیت آسیب پذیری پردازنده، از جمله اینتل (اینتل)، اپل (اپل) و مایکروسافت (مایکروسافت) و دیگر غول های فناوری در حال پیوستن به نیروهای خود را برای ارائه راه حل های تعمیر برای جلوگیری از این آسیب پذیری ایمنی بحرانی هکرها اجازه می دهد به استفاده از، سرقت اطلاعات از کامپیوتر، تلفن های هوشمند و دستگاه های دیگر.
کشف های قبلی از به اصطلاح «نقض امنیتی، اتهامات ظاهر شد در تراشه های اینتل، و در حال حاضر، ظاهرا، در هفته گذشته از این آسیب پذیری مشترک به بسیاری از پردازنده های با کارایی بالا در حال حاضر تاثیر، نه فقط اینتل داشته اند.
در حقیقت، محققان امنیتی در Google Project Zero و دیگر شرکت ها سه حمله مختلف کانال را کشف کرده اند که شامل اطلاعات مربوط به عملکرد داخلی پردازنده های مدرن و درجه ای از نیروی بی رحم نیروی) روش ترک.
قابل توجه است که، تا کنون، ما هنوز کشف نشده اند این آسیب پذیری بهره برداری می شود. با این حال، این خبر فاش شد، برای دانش CPU-عمق هکر ممکن است حمله کند. بنابراین، از جمله کل اکوسیستم نرم افزاری هستند اضافه شده رقابت برنامه چاپ و نشر به وصله آسیب پذیری های امنیتی.
نیاز به همکاری با یکدیگر برای رفع این تیم آسیب پذیری از جمله AMD، ARM، و اینتل و دیگر صنعت طراحی CPU. فروشندگان نرم افزار های کلیدی از جمله اپل، خودتان هستید، لینوکس، مایکروسافت و VMware.
فروشندگان سوراخ های امنیتی را کشف و در ماه ژوئن سال گذشته از آنها پچ نمودند، اما از آنجایی که این آسیب پذیری ها در طرح های تراشه های حمل شده وجود دارد، تنها راه حل این است که نرم افزار سیستم را برای حل این مشکلات پچ کنید، مثلا، از طریق بیش از سیستم عامل (OS) و نرم افزار / برنامه های مدیریت مجازی سازی.
من از کلمه "آسیب پذیری" به جای "اشکال" استفاده می کنم، زیرا این مدارها با توجه به طراحی مناسب طراحی شده اند، اما دور زدن سوء استفاده از این واقعیت است که برای این عملیات درست دانش برای استخراج اطلاعات که باید محافظت شود.
تاثیر بر عملکرد به هر کدام از طرح های مختلف پردازنده و نرم افزار بستگی دارد. از جمله نرم افزار هایی که نیاز به دستورالعمل های فراخوانی سیستم، مانند یک مرکز داده، به نظر می رسد بیشترین حس را برای کاربران مانند بازی ها و مرورگرها احساس می کند تأثیر نرم افزار نباید زیاد باشد.
بدافزار خاص طراحی شده ممکن است CPU را به انجام "اجرای احتمالی" تحمیل کند و سپس داده ها را از مناطق با سطح بالاتر حفاظت را شناسایی کند، بنابراین نرم افزار و سیستم عامل سیستم باید برای تعمیر تغییر کند. آسیب به حافظه، اما نرم افزار به صورت محلی اجرای شده ممکن است اطلاعات حساس مانند رمزهای عبور و کلید رمزگذاری را نمایش دهد.
اینتل تایید کرده است که این حملات ممکن است بر روی پردازنده خود رخ دهد و AMD همچنین یک تهدید احتمالی را نشان داد.
سه آسیب پذیری عمده امنیتی در هفته گذشته کشف شد و تعداد آنها به شرح زیر است:
(CVE-2017-5753) تزریق هدف شعبه (CVE-2017-5715) بارگیری داده های غیرمجاز (CVE-2017-5754) تعمیرات نرم افزاری مورد نیاز است، زیرا دشوار است اجرای ابهامات را با تغییر طراحی پردازنده حل کند، و AMD، ARM و اینتل می گویند تهدیدات مشترک را می توان از طریق به روز رسانی نرم افزار تعمیر کرد، بنابراین تاثیر عملکرد کم است میکرو
تأثیر تهدیدات # 2 و # 3 به فروشندگان مختلف پردازنده بستگی دارد و اینتل این دو نوع تهدید را تأیید کرد اما AMD اعلام کرد که تهدید 2 نوع را رعایت نمی کند و طراحی آن برای آسیب پذیری سوم آسیب پذیر نیست این ممکن است به دلیل پذیرش فن آوری های پیشرفته تر Intel در طراحی مشاغل پیش بینی شده خود باشد، که هر کدام از آنها یک طراحی متفاوت از اهداف شاخه ای دارد که ممکن است بر وقایع امنیتی تأثیر بگذارد و در عین حال، این بخشی از تهدید تاثیر عملکرد نیز بزرگترین است.
اینتل گفت که تهدید دوم می تواند امتیازات عملکرد عملکرد را با 0 تا 5 درصد کاهش دهد در حالی که تهدید سوم می تواند تأثیرات 3-5 درصد را بر بار کاری معمولی، به ویژه برای نرم افزارهایی که به طور منظم به خدمات اصلی دسترسی پیدا می کنند، خرس بزن
وضعیت ARM پیچیده تر است.بسیاری از هسته های ARM محدودیت دارند و یا حتی عملیات نظری ندارند، حتی جریان اصلی هسته Cortex-A، اما هسته عملکرد بالاتر عملکرد سودا را ارائه می دهد. علاوه بر این، مانند اپل، Cavium و Qualcomm (کوالکام) و دیگر معماری ARM مجاز، طراحی تراشه، اما همچنین اجرای ابهامات مختلف و طراحی هدف شاخه. با توجه به این اطلاعات در معرض است، هر یک از تامین کنندگان باید فهرست لیست CPU ممکن است تحت تاثیر قرار گیرد. ARM خواهد شد طراحی هسته خود را در طول توسعه تغییر دهید و هسته های موجود را در صورت نیاز اضافه کنید.
اگر چه این گزارش در آغاز تمام اینتل تمرکز دارد، اما وجود دارد نیاز بیشتری برای ایجاد یک همکاری صنعتی منحصر به فرد بین این فروشندگان رقابت و نرم افزار و شرکت های تراشه احتمالا وجود دارد بیشتر از این شرکت ها خواهد بود موضوع به امنیت خواهد بود تاثیر آسیب پذیری. اما با این حادثه نشان دهنده نقص امنیتی در حال تغییر است به شکل تهدید، من امیدوارم که این زمان خواهد بود صنعت به انجام یک همکاری گسترده تر در مورد مسائل امنیتی زمانی شروع میشود که تمام شرکت با هم کار کنند، آن موظف است تا به طور موثرتری محافظت کامپیوتر، تلفن همراه و مراکز داده ما است.
کامپایل: سوزان هنگ