זוג נקודות תורפה התגלו המשפיעות על מעבדי אינטל ו-AMD, ושניהם משפיעים על דורות של מעבדים עבור אלה שעדיין לא עדכנו את המערכות שלהם.
האיומים החדשים נקראים "Downfall" ו-"Inception", ושניהם מסתמכים על הוצאה להורג ספקולטיבית באופן דומה ל-Meltdown ו-"חרקים ספקטר, בהתאמה. שניהם מתוארים כבעלי חומרה "בינונית", כאשר הנפילה משפיעה על שבבי אינטל ו-Inception מתמקדת במעבדי AMD.
אינטל ו-AMD שתיהן הוציאו עדכוני תוכנת מיקרוקוד ברמת מערכת ההפעלה נכון לעכשיו, כאשר שתי החברות שואפות לטפל בשתי הפגיעויות. כְּמוֹדווח על ידי Ars Technica, שתי החברות גם אישרו שהן לא זיהו ניצול כלשהו שקיים לאחת מהפגיעות.
עם זאת, חשוב שיצרנים יוציאו עדכונים משלהם כדי לטפל בבעיות ברגע שאינטל ו-AMD יהפכו אותם לזמינים. גם הנפילה וגם ההתחלה מהווים סיכונים למוצרי צריכה, מעבדי שרתים ותחנות עבודה, שכל אחת מהן מצוידת במעבדי אינטל או AMD בני שנים.
נְפִילָה
לכל הדעות, נפילה היא הפגיעות הגדולה מבין שתי הנקודות. זה ידוע בשם "CVE-2022-40982", והוא מתאר על ידי חוקר האבטחה של גוגל דניאל מוג'ימי. הואמתאר את זהבְּתוֹר שֶׁכַזֶה:
"הפגיעות נגרמת על ידי תכונות אופטימיזציה של זיכרון במעבדי אינטל שחושפות בטעות אוגרי חומרה פנימיים לתוכנה. זה מאפשר לתוכנה לא מהימנה לגשת לנתונים המאוחסנים על ידי תוכנות אחרות, שבדרך כלל לא אמורות להיות נגישות. גיליתי שההוראה Gather נועדה להאיץ גישה לנתונים מפוזרים בזיכרון, דולף את התוכן של קובץ האוגר הווקטור הפנימי במהלך ביצוע ספקולטיבי כדי לנצל את הפגיעות הזו, הצגתי את Gather Data Sampling טכניקות (GDS) ו-Gather Value Injection (GVI) אתה יכול לקרוא את המאמר שכתבתי על זה לפרטים נוספים."
מוג'ימי אומר כי Downfall הוא "יורש" של הפגיעות של Meltdown, שכן שניהם מסתמכים על ביצוע ספקולטיבי כדי לפגוע במערכות המושפעות.
אינטל אומרת שכל המעבדים המבוססים על Skylake, Kaby Lake, Whiskey Lake, Ice Lake, Comet Lake, Coffee Lake, Rocket Lake ו-Tiger Lake מושפעים כולם מ-Downfall, יחד עם דורות מעבדים אחרים. זה אומר שרוב השבבים שיוצרו משנת 2015 ואילך מושפעים.
אינטל רדופה על ידי ספקטר
עם זאת, השבבים החדשים ביותר של אינטל מהדור ה-12 וה-13 המבוססים על Alder Lake ו- Raptor Lake אינם מושפעים. בינתיים, גם המעבדים הנמוכים של Celeron, Pentium ו-Apollo אינם מושפעים.
הַתחָלָה
התחלה ידועה גם בשם "CVE-2023-20569," וזה צאצא של באג Spectre, והוא מתואר כ"חשיפה של מידע באמצעות מצב מיקרו-ארכיטקטוני לאחר ביצוע חולף ביחידות ביצוע וקטוריות מסוימות עבור מעבדי Intel(R) מסוימים עשויה לאפשר למשתמש מאומת לאפשר פוטנציאל חשיפת מידע באמצעות גישה מקומית. "
חוקרי אבטחה בקבוצת COSMEC של ETH Zrich מציינים שפגיעות זו עלולה לדלוף נתונים שרירותיים על מגוון מעבדי AMD, כולל Ryzen, EPYC ו-Threadripper. לקבוצה ישגם פורסםסרטון הוכחת קונספט המציג את הפגיעות.
החדשות הטובות הן שפגיעויות אלו טופלו על ידי אינטל ו-AMD, ונראה שאף אחת מהן לא מסוכנת כמו הפגיעויות שמהן הן מוצאות, Meltdown ו-Spectre.
אולי זה זמן טוב לשדרג לסיליקון של אפל
ובכל זאת, אם שום דבר אחר, הפגיעויות הנרחבות הללו הן תזכורת עדינה לכך שאפל התרחקה מאינטל בבחירת המעבדים שלה. החברה עכשיו הכל-אין עםאפל סיליקון, כלומר הוא לא צריך לדאוג לגבי נקודות תורפה של אינטל או AMD כמו אלה.
סיליקון תפוח
ראוי לציין שעדיין ישנן כמה נקודות תורפה שיכולות לצוץ, אפילו עבור סיליקון אפל. הפגם של "פקמן" היההדשל Spectre and Meltdown בשנת 2022, למשל, אם כי כזה שלא פגע ברצינות באף מחשב בעולם האמיתי.
