Tegnap jelentette be az Intel a Microsofttal karöltve, hogy a Spectre és a Meltdown biztonsági hiba újonnan talált variánsa több százmilliónyi számítógépet és mobil eszközt érint. Ígéretek szerint a teljesítményvisszaesést is okozó incidens javítása pár hét múlva eljuthat az érintettekhez.
Az Intel csak Négyes Változatként (Variant 4) hivatkozik az új sebezhetőségre. Míg a januárban napvilágot látott sérülékenységekhez hasonló jelentőséggel bír felfedezése, az érzékeny adatokhoz való hozzáférést azokhoz képest eltérő módon teszi lehetővé.
Még mindig nem értünk a végére?
Tovább kísérti tehát a januárban felbukkant hardveres hibaözön a processzorgyártókat. Az Intel, az ARM és az AMD fejlesztette CPU-k használóinak érzékeny adatait szolgáltathatják ki ezek a sebezhetőségek. Becslések szerint az elmúlt két évtizedben készített lapkák közül több mint 200 millió(!) sérülékeny.
Habár az Intel, az Apple és a Microsoft már több update-et is kiadott a biztonsági rések befoltozására, azok nem mindig sikerültek úgy, ahogy szerették volna. Az x86-os processzorok királyának első fixei kifejezetten rossz minőségűek lettek. A Microsoft ezért külön patch-ben tiltogatta le őket, mivel azok rendszerfagyásokat produkáltak.
Ráadásul hiába jelentek meg a jól használható frissítések, iparági szakértők előre figyelmeztettek, hogy ezek alkalmazásba vételével sem ér véget ez a mizéria. Simon Segars már januárban azt jósolta, hogy a Spectre-hez hasonló sérülékenységek a közeljövőben újra fel fognak bukkanni. Az ARM vezérigazgatójának igaza is lett, a hónap elején kiderült eset mellett a mostani beszámoló a legújabb bizonyítéka annak, hogy a processzorfejlesztő-ipar nem tudhatja maga mögött a biztonságot fenyegető hardveres sebezhetőségek időszakát.
Nincsen biztonság áldozatok nélkül
Visszatérve a Négyes Változathoz; az Intel közepes kockázatúnak minősítette létét, mivel az általa kihasználható sérülékenységek javát a korábbi hardveres hibák javításai már befoltozták a webböngészőkben. Ugyanezt a minősítést adta a hibának a Google Project Zero csapata (az amerikai keresőóriás biztonsági kutatói számoltak be januárban az első incidensről).
A legnagyobb problémát az úgynevezett Speculative Store Bypass eljárás okozza, mely lehetővé teszi a processzor számára, hogy érzékeny adatokat potenciálisan védtelen területekre töltsön be. A US-CERT tanácsában olvasható információk szerint a hiba miatt a támadók kiolvashatnak régebbi memóriaértékeket a CPU révén.
Egyelőre nem érkezett arról információ, hogy a Négyes Változatot már kihasználnák az interneten. A fent említett korábbi javítások mellett az Intel fogadkozása is csökkenti a probléma jelentőségét. Eszerint a következő hetek során elérhető lesz az érintettek zöme számára a javítás. Amint arról Leslie Culbertson, a csipgyártó biztonsági részlegének vezető alelnöke beszámolt, az Intel már elkészült az update-tel, jelenleg annak gyártókhoz és szoftverfejlesztőkhöz való eljuttatása zajlik.
Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »
A javítás egyébként alapértelmezettként ki van kapcsolva, a forgalmazókon múlik engedélyezése. Ennek fő oka, hogy a vállalat tesztrendszerein mért adatok szerint telepítését követően a teljesítmény 2-8 százalékkal esett vissza. Vagyis nagyon úgy tűnik, hogy ezt az áldozatot meg kell hozni a biztonság érdekében.
Nyilatkoztak a gyártók
A Microsoft biztonsági tájékoztatója szerint egy támadónak lehetősége nyílik a böngészőkben JavaScript használatával sikeres támadást végrehajtani. Azaz a redmondi operációs rendszert használók számára kötelező gyakorlat lesz a hamarosan elkészülő patch telepítése.
Az ARM közlése értelmében az általuk gyártott processzorok zömét nem érinti az új változat felbukkanása. Nem így az AMD-t. A kisebbik processzorfejlesztő arra figyelmeztette a CPU-it használókat, hogy mindig frissítsék operációs rendszereiket. Az általuk fejlesztett lapkákhoz készülő Microsoft-patch már tesztelési fázisban van, vagyis várhatóan a következő hetekben elérhetővé válik az érintettek számára.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak