Βρέθηκαν 8 ακόμη ελαττώματα τύπου Spectre στα Intel Chips (Αναφορά)

Αν νομίζατε ότι η Intel έβαζε πίσω του τα ελαττώματα Spectre και Meltdown, τότε τίποτα δεν είναι τόσο απλό. Σύμφωνα με μια έκθεση από το γερμανικό περιοδικό υπολογιστών C'T, η Intel σχεδιάζει να αντιμετωπίσει οκτώ νέες ευπάθειες που απορρέουν από το ίδιο πρόβλημα σχεδίασης στους επεξεργαστές της που οδήγησαν στα Spectre και Meltdown και έχει δεσμεύσει μια σειρά αριθμών Common Vulnerabilities and Exposures (CVE) για αυτούς.

Στις 3 Μαΐου, ο εκτελεστικός αντιπρόεδρος της Intel και ο γενικός διευθυντής για τη διασφάλιση και την ασφάλεια των προϊόντων Leslie Culbertson εξέδωσε μια δήλωση σχετικά με πιθανά νέα θέματα ασφάλειας:

"Η προστασία των δεδομένων των πελατών μας και η διασφάλιση της ασφάλειας των προϊόντων μας είναι κρίσιμες προτεραιότητες για εμάς", έγραψε ο Culbertson. «Συνεχώς συνεργαζόμαστε στενά με πελάτες, συνεργάτες, άλλους κατασκευαστές τσιπ και ερευνητές για να κατανοήσουμε και να μετριάσουμε τυχόν προβλήματα που εντοπίζονται και μέρος αυτής της διαδικασίας περιλαμβάνει την κράτηση μπλοκ αριθμών CVE.

"Πιστεύουμε ακράδαντα στην αξία της συντονισμένης αποκάλυψης και θα μοιραστούμε πρόσθετες λεπτομέρειες για τυχόν πιθανά ζητήματα καθώς ολοκληρώνουμε τους μετριασμούς. Ως βέλτιστη πρακτική, συνεχίζουμε να ενθαρρύνουμε όλους να διατηρούν τα συστήματά τους ενημερωμένα."

Ενώ τα περισσότερα από τα προβλήματα βρίσκονται στο ίδιο επίπεδο κινδύνου με το Spectre, το οποίο ομολογουμένως μπορεί να γίνει αρκετά υψηλό, υπάρχει ένα ενδιαφέρον ψήγμα: ένα ελάττωμα που θα επέτρεπε εύκολα σε έναν κακόβουλο χάκερ να εκμεταλλευτεί τον κώδικα σε μια εικονική μηχανή και να επιτεθεί στο σύστημα κεντρικού υπολογιστή, είτε αυτό να είστε ένας μόνο υπολογιστής ή, ας πούμε, διακομιστής μιας μεγάλης εταιρείας και να μπείτε σε περισσότερες εικονικές μηχανές με αυτόν τον τρόπο.

"Παρόλο που οι επιθέσεις σε άλλα εικονικά μηχανήματα ή το σύστημα κεντρικού υπολογιστή ήταν ήδη δυνατές κατ 'αρχήν με το Spectre, η υλοποίηση στον πραγματικό κόσμο απαιτούσε τόσο πολύ προηγούμενη γνώση που ήταν εξαιρετικά δύσκολη", δήλωσε η αγγλόφωνη έκδοση της ιστορίας C'T. "Ωστόσο, η προαναφερθείσα ευπάθεια Spectre-NG μπορεί να αξιοποιηθεί πολύ εύκολα για επιθέσεις πέρα από τα όρια του συστήματος, ανεβάζοντας τις δυνατότητες απειλής σε νέο επίπεδο."

Το C'T αναφέρεται στα οκτώ τρωτά σημεία ως Specter-NG (Next Generation), αλλά αυτό φαίνεται να είναι ένα όνομα που αποτελείται από την πλευρά του περιοδικού. Το περιοδικό προτείνει ότι κάθε ευπάθεια θα μπορούσε να πάρει το δικό του όνομα και πιθανότατα θα υπάρχουν οκτώ διαφορετικά patches - ένα για κάθε τεύχος.

Η έκθεση αναφέρει ότι το πρώτο κύμα επιδιορθώσεων θα μπορούσε να ξεκινήσει τον Μάιο (το επόμενο Patch Tuesday της Microsoft για Windows 10 είναι την Τρίτη 8 Μαΐου), ενώ τα υπόλοιπα προετοιμάζονται για τον Αύγουστο.

Η έκθεση προτείνει ότι ορισμένα τσιπ ARM μπορεί να είναι ευάλωτα στα ελαττώματα του Spectre-NG και ότι η AMD ερευνά εάν αυτό επηρεάζει και τους επεξεργαστές της. Το Meltdown επηρέασε μερικά τσιπ ARM και AMD.

Αλλά το Spectre επηρεάζει σχεδόν κάθε επεξεργαστή τις τελευταίες δύο δεκαετίες και εάν αυτές οι νέες αναφορές είναι σωστές, δεν θα κλονίσουμε παρόμοια τρωτά σημεία σύντομα μέχρι να γίνει ένας χονδρικός επανασχεδιασμός των επεξεργαστών.

"Φαίνεται ότι για κάθε σταθερό ζήτημα εμφανίζονται δύο άλλα", ανέφερε το άρθρο του C'T. "Κατά τη διάρκεια των τελευταίων είκοσι ετών, οι εκτιμήσεις για την ασφάλεια έπαιξαν μόνο το δεύτερο βιολί για την απόδοση στην ανάπτυξη επεξεργαστή."

Πιστωτική εικόνα: BeeBright/Shutterstock