از پچ‌ها انتظار می‌رود که به زودی معایب بیشتری در بعضی از تراشه‌های مهم اینتل پیدا کنند
نویسنده:آیدا بابازاده
ارسال شده در:18 اردیبهشت 1397، 15:00

از پچ‌ها انتظار می‌رود که به زودی معایب بیشتری در بعضی از تراشه‌های مهم اینتل پیدا کنند

تنها چند ماه از پیدا شدن آسیب‌پذیری‌های اسپکتر (Spectre) و ملت‌ داون (Meltdown)، ارسال تراشه‌ساز‌ها و تقلای شرکت‌های نرم‌افزاری برای رفع اشکالات ناشی از آسیب‌ها می‌گذرد. هر دوی این اشکالات به دلیل نقص‌های آشکار در طراحی پردازنده ها، مخصوصا پردازنده‌های اینتل است.

مشکلات ناشی از اسپکتر و ملت داون ، در نهایت بر میلیاردها پردازنده، نه تنها بواسطه اینتل و AMD بلکه توسط آن‌هایی که براساس ARM طراحی شده‌اند هم، تاثیر می‌گذارد.  در نهایت پیامد ناشی از اسپکترو و ملت‌ داون نسبتا ویرانگر شد. بیشتر پچ‌ها (Patch)، یا حداقل یکی از آن‌ها برای نوع دوم اسپکتر، عملکرد قابل‌توجهی به خصوص در پردازنده های  قدیمی‌تر داشته‌است. متاسفانه پردازنده های اینتل آسیب‌پذیری را برای بیش از 60% (تقریبا 1800) از  تمام 2800 پردازنده موجود، شمرده‌اند.

اما به نظر می‌رسد بدتر از این هم ممکن است، زیرا پژوهشگران امنیتی تعداد هشت آسیب‌پذیری دیگر را پیدا کرده‌اند که به دلیل همان مشکل طراحی‌ مشاهده شده در اسپکتر و ملت‌ داون، به پردازنده‌های اینتل آسیب می‌زنند. فعلا مشخص نیست که سایر سازنده‌ها در چه محدوده‌ای از «پردازنده» ها آسیب دیده‌اند. تمام هشت آسیب‌‌پذیری به طور منحصر به‌فردی در «CVE» که پایگاه داده‌ای برای ضعف‌های امنیت سایبری محسوب می‌شود، معرفی شده‌ و از آن‌ها انتظار می‌رود که به پچ‌های جداگانه‌ای برای رفع مشکل احتیاج داشته‌باشند. خبر خوب این است که تاکنون چندین تیم‌ از محققان امنیتی، این آسیب‌پذیری‌ها را به اینتل گزارش کرده‌اند، بنابراین قطعات ساخته شده هنوز در محدوه‌های عمومی کامل نیستند و باید به اینتل برای پیدا کردن راه‌حل کمی زمان داد.

اسپکتر

گفته می‌شود که احتمالا مدتی پیش، «پروژه صفر گوگل» حداقل یکی از هشت آسیب‌پذیری را پیدا کرده‌باشد، و «فرصت دقیق 90 روزه غیر افشایی» آن‌‌ها اگر مورد برآورد منابع باشد، به زودی و شاید تا 7‌ام ماه «می» تمام می‌شود. بعد از آن، سیاست آن‌ها به این شکل می‌شود که اطلاعات پیرامون آسیب پذیری را حتی اگر رفع اشکالی برای آن پیدا نشود، به طور عمومی منتشر کنند. هنگامی که این برنامه به سازندگان انگیزه می‌دهد تا پچ‌ها را سر موقع منتشر کنند، «موعد سخت 90 روزه» می‌تواند مانند یک شمشیر دو لبه عمل نماید، زیرا راه‌حل «تاثیر گذاری محتمل بر امنیت کاربران» نباید تا قبل از شفاف‌سازی عمومی پیدا شود. در بسیاری از موارد، از اینتل انتظار می‌رود تا به‌روز‌رسانی‌های ریز برنامه را طی دو زمان مختلف منتشر کند؛ یکی در ماه «می»، و دیگری در ماه «آگوست». احتمالا مایکروسافت هم درحال کار کردن بر یک رفع اشکال است، که بتواند با جدول زمانی اینتل تنظیم شود.

درنتیجه برای خود آسیب‌پذیری‌ها، اینتل به عنوان «خطر بالا» در رتبه‌بندی چهار و بقیه به عنوان «ریسک متوسط» طبقه‌بندی شده‌اند. تاکنون حداقل یک آسیب‌پذیری خطرناک‌تر از بقیه تلقی می‌شود، عمدتا به این دلیل که به کد‌های مخرب قبل ترتیب‌دادن یک حمله به میزبان یا وی‌ام‌  (VM)موجود در همان سرور، اجازه عملی‌شدن در سطح وی‌ام (VM) را می‌دهد. هکر‌ها همچنین می‌توانند به داده‌های حساس مثل رمز‌های عبور و کلید‌ها دسترسی پیدا کنند و همچنین باعث می‌شوند تا «نرم‌افزار محافظ توسعه (SGX)» مثل اسپکتر کاملا امن نباشد.

«لسلی کالبرستون» (Leslie Culberston) نایب رییس اجرایی اینتل و مدیرکل تضمین محصول، برای افشاگری و پرهیز از سقوط محتمل پی‌آر (PR)، به تازگی بیانه‌ای منتشر کرده‌است که اساسا آسب‌پذیری‌ها را تایید می‌کند.

اگرچه چنین کاری برای ارائه نظر نهایی، طراحی و مهندسی پردازنده کار سختی بوده و زمان زیادی می‌برد. تا این تاریخ ما همچنان منتظر مشاهده هرگونه پردازنده جدید با تغییرات واقعی سطح نرم‌افزاری، برای ریزمعماری‌ای که نسل اول آسیب‌پذیری‌های اسپکترو و ملت‌ داون را برطرف می‌کند، هستیم. در عین حال ارائه به‌روز‌رسانی‌های ریز کد و پچ‌های نرم‌افزاری، تنها راه‌حل محسوب می‌شود.

منبع: مجله c’t

برای آگاهی از آخرین مقالات مجله پلازا در کانال تلگرام ما عضو شوید t.me/plazamag عضویت در کانال تلگرام
دیــدگاههای کاربـــران
بارگذاری ...
دیدگاه خود را با ما به اشتراک بگذارید

نشانی ایمیل شما در مجله خبری پلازا منتشر نخواهد شد. بخش‌هایی که با علامت * مشخص شده اند اجباری هستند.

0/1500
captcha