Tegnap jelentette be az Intel a Microsofttal karöltve, hogy a Spectre és a Meltdown biztonsági hiba újonnan talált variánsa több százmilliónyi számítógépet és mobil eszközt érint. Ígéretek szerint a teljesítményvisszaesést is okozó incidens javítása pár hét múlva eljuthat az érintettekhez.

Az Intel csak Négyes Változatként (Variant 4) hivatkozik az új sebezhetőségre. Míg a januárban napvilágot látott sérülékenységekhez hasonló jelentőséggel bír felfedezése, az érzékeny adatokhoz való hozzáférést azokhoz képest eltérő módon teszi lehetővé.

Még mindig nem értünk a végére?

Tovább kísérti tehát a januárban felbukkant hardveres hibaözön a processzorgyártókat. Az Intel, az ARM és az AMD fejlesztette CPU-k használóinak érzékeny adatait szolgáltathatják ki ezek a sebezhetőségek. Becslések szerint az elmúlt két évtizedben készített lapkák közül több mint 200 millió(!) sérülékeny.

Habár az Intel, az Apple és a Microsoft már több update-et is kiadott a biztonsági rések befoltozására, azok nem mindig sikerültek úgy, ahogy szerették volna. Az x86-os processzorok királyának első fixei kifejezetten rossz minőségűek lettek. A Microsoft ezért külön patch-ben tiltogatta le őket, mivel azok rendszerfagyásokat produkáltak.

Ráadásul hiába jelentek meg a jól használható frissítések, iparági szakértők előre figyelmeztettek, hogy ezek alkalmazásba vételével sem ér véget ez a mizéria. Simon Segars már januárban azt jósolta, hogy a Spectre-hez hasonló sérülékenységek a közeljövőben újra fel fognak bukkanni. Az ARM vezérigazgatójának igaza is lett, a hónap elején kiderült eset mellett a mostani beszámoló a legújabb bizonyítéka annak, hogy a processzorfejlesztő-ipar nem tudhatja maga mögött a biztonságot fenyegető hardveres sebezhetőségek időszakát.

Nincsen biztonság áldozatok nélkül

Visszatérve a Négyes Változathoz; az Intel közepes kockázatúnak minősítette létét, mivel az általa kihasználható sérülékenységek javát a korábbi hardveres hibák javításai már befoltozták a webböngészőkben. Ugyanezt a minősítést adta a hibának a Google Project Zero csapata (az amerikai keresőóriás biztonsági kutatói számoltak be januárban az első incidensről).

A legnagyobb problémát az úgynevezett Speculative Store Bypass eljárás okozza, mely lehetővé teszi a processzor számára, hogy érzékeny adatokat potenciálisan védtelen területekre töltsön be. A US-CERT tanácsában olvasható információk szerint a hiba miatt a támadók kiolvashatnak régebbi memóriaértékeket a CPU révén.

Egyelőre nem érkezett arról információ, hogy a Négyes Változatot már kihasználnák az interneten. A fent említett korábbi javítások mellett az Intel fogadkozása is csökkenti a probléma jelentőségét. Eszerint a következő hetek során elérhető lesz az érintettek zöme számára a javítás. Amint arról Leslie Culbertson, a csipgyártó biztonsági részlegének vezető alelnöke beszámolt, az Intel már elkészült az update-tel, jelenleg annak gyártókhoz és szoftverfejlesztőkhöz való eljuttatása zajlik.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »

A javítás egyébként alapértelmezettként ki van kapcsolva, a forgalmazókon múlik engedélyezése. Ennek fő oka, hogy a vállalat tesztrendszerein mért adatok szerint telepítését követően a teljesítmény 2-8 százalékkal esett vissza. Vagyis nagyon úgy tűnik, hogy ezt az áldozatot meg kell hozni a biztonság érdekében.

Nyilatkoztak a gyártók

A Microsoft biztonsági tájékoztatója szerint egy támadónak lehetősége nyílik a böngészőkben JavaScript használatával sikeres támadást végrehajtani. Azaz a redmondi operációs rendszert használók számára kötelező gyakorlat lesz a hamarosan elkészülő patch telepítése.

Az ARM közlése értelmében az általuk gyártott processzorok zömét nem érinti az új változat felbukkanása. Nem így az AMD-t. A kisebbik processzorfejlesztő arra figyelmeztette a CPU-it használókat, hogy mindig frissítsék operációs rendszereiket. Az általuk fejlesztett lapkákhoz készülő Microsoft-patch már tesztelési fázisban van, vagyis várhatóan a következő hetekben elérhetővé válik az érintettek számára.