חוקרי אבטחה מצאו גרסאות חדשות של פגמי שבבים המשפיעים על מעבדי אינטל ו-AMD, שעוקפות את ההקלות הקיימות עבור התקפות Spectre, ומחיות מחדש נקודות תורפה שעשויות להשפיע על מחשבי Mac מבוססי אינטל.
בשנת 2018, אפגם בקרנל שבב אינטלנמצא שאפשר לתוקפים לקבל גישה לנתונים מוגנים, שיכולים לכלול סיסמאות ומפתחות יישומים. בעוד שהוקמו תיקונים והקלות כדי לחסום את מה שמכונה התקפות "ספקטר", החוקרים קבעו שהמאמצים אינם מספיקים כדי למנוע את ההתקפות לחלוטין.
ב אעיתון שפורסםעל ידי חוקרים מאוניברסיטת וירג'יניה ומאוניברסיטת קליפורניה, נמצאו לפחות שלוש גרסאות חדשות של התקפות Spectre המשפיעות על מטמוני מיקרו-אופ במעבדי אינטל ו-AMD.
באופן מכריע, שלוש השיטות שנקבעו על ידי החוקרים עוקפות הגנות קודמות של Spectre שמנעו דליפות נתונים כאלה. המשמעות היא שהמעבדים הנוכחיים פגיעים להתקפות דמויות ספקטר, למרות ההגנות האנטי-ספקטר שלהם.
החוקרים כבר חשפו את המחקר שלהם לאינטל ו-AMD,דוחות פורוניקס, אך עד כה טרם היו תיקוני ליבה או עדכוני מיקרוקוד שהופצו על ידי שני הצדדים לפני החשיפה לציבור.
חלק מהבעיה הוא שהתיקון עשוי להכניס "עונש ביצועים גדול בהרבה" מההקלות הקודמות. תיקונים לדוגמה כוללים שטיפת מטמון המיקרו-אופ במעברי תחום, או להניע חלוקה מבוססת רמה של מטמונים.
למרות שהחשיפה מזעזעת למדי את אינטל ו-AMD, הקושי הרב לבצע התקפה הופך את זה לא סביר שהיא תשפיע על אנשים רבים בכלל. לשם כך, התוכנה הזדונית תצטרך להשחיל את המחט לעקוף את כל אמצעי האבטחה הקיימים הכלולים במערכות ההפעלה, עוד לפני שתנסה להשתמש בכל אחת מהפגיעויות מלכתחילה.
בשלב זה, לא ידוע אם הפגיעויות משפיעות על מחשבי Mac מבוססי אינטל, אך סביר להניח שהם נמצאים בסיכון מינימלי להתקפה. עם המעבר של אפל לאפל סיליקוןוהארכיטקטורה התוצרת הביתית שלו, מחשבי Mac חדשים לא צפויים להיות מושפעים ישירות מהגילוי החדש.
עם זאת, אפל אכן הציגה תיקונים למלחמה בספקטר וב-"Meltdown", פגם שבב נוסף שהתגלה במקביל ב-2018. הקלותהונפקוב-macOS, iOS ו-tvOS, מה שמצביע על כך שגם השבבים מסדרת A של אפל היו פגיעים באותה תקופה.
כאב הראש של ספקטר היה בעיה ארוכת שנים עבור אינטל. נקודות תורפה נוספות בסגנון Spectre נחשפו ב-aגל שניבאמצע 2018.
נוסתה תביעה ייצוגית בלתי נמנעת נגד אפל, בטענה שהטיפול של החברה בפרצות האט את מוצרי השבבים מסדרת A. עד ינואר 2019, ההתיק נדחהבגלל חוסר עמידה.
עדכון 3 במאי, 15:44 ETאינטל מאמינה כי ישנן כבר הגנות מספקות עם ההקלות הקיימות, למרות שהחוקרים חלוקים בנקודה זו.
"אינטל בחנה את הדו"ח והודיעה לחוקרים שלא עוקפים אמצעים קיימים ושתרחיש זה מטופל בהנחיית הקידוד המאובטח שלנו", אמרה אינטל בהצהרה. "לתוכנה העוקבת אחר ההנחיות שלנו יש כבר הגנות מפני ערוצים מקריים, כולל ערוץ הנלווה של מטמון UOP. אין צורך בהנחות או הנחיות חדשות".
עדכון 4 במאי, 11:45 ETאשיש ונקאט מבית הספר להנדסה UVA הגיב להצהרה של אינטל ביום שלישי, והתעקש כי מדובר בבעיית חומרה שצריך לאבטח, ולא משהו שניתן להתמודד איתו עם שינויים בפיתוח תוכנה.
"בהחלט, אנחנו מסכימים שהתוכנה צריכה להיות מאובטחת יותר, ואנחנו מסכימים כקהילה שתכנות בזמן קבוע הוא אמצעי יעיל לכתיבת קוד שאינו פגיע להתקפות ערוץ צדדי", ה-UVAהַצהָרָהקורא. "עם זאת, הפגיעות שאנו חושפים היא בחומרה, וחשוב לתכנן גם מעבדים מאובטחים ועמידים בפני התקפות אלו".
"בנוסף, תכנות בזמן קבוע הוא לא רק קשה מבחינת מאמץ המתכנת בפועל, אלא גם טומן בחובו ביצועים גבוהים ואתגרי פריסה משמעותיים הקשורים לתיקון כל התוכנות הרגישות. אחוז הקוד שנכתב באמצעות עקרונות הזמן הקבוע הוא ב למעשה, הסתמכות על זה תהיה מסוכנת. לכן אנחנו עדיין צריכים לאבטח את החומרה."
הישאר מעודכן בכל החדשות של אפל ישירות ממךHomePod. אמור, "היי, סירי, שחק ב-AppleInsider," ותקבל את הפודקאסט העדכני ביותר של AppleInsider. או תשאל את שלךHomePod miniעבור "AppleInsider Daily" במקום זאת ותשמע עדכון מהיר ישירות מצוות החדשות שלנו. ואם אתה מעוניין באוטומציה ביתית ממוקדת אפל, אמור "היי, סירי, שחק את HomeKit Insider", ותקשיב לפודקאסט המיוחד החדש ביותר שלנו בעוד רגעים.
