Meltdown and Spectre بزرگترین نقص امنیتی تمام پردازشگرها

Meltdown and Spectre – یک نقص امنیتی جدی که ممکن است به مهاجمان اجازه دهد تا اطلاعات حساس را از کامپیوترهای ما به سرقت ببرند پیدا شده است. مهاجمان می توانند توسط این آسیب پذیری جدید که در پردازشگرهای اینتل، ای ام دی و ای آر ام  (Inte, AMD, ARM) پیدا شده است اطلاعاتی همچون پسوردها و اطلاعات بانکی را به سرقت ببرند.

نام این نقص امنیتی Meltdown and Spectre می باشد که توسط محققین گوگل کشف شده است. در گزارش گوگل در این باره آمده است که هر کامپیوتر مدرن از قبیل تلفن همراه، تبلت، کامپیوترهای رومیزی از تمام تولیدکنندگان با هر سیستم عاملی تحت تاثیر این نقص امنیتی خواهد بود.

بنا به گفته دانیل گروس محقق دانشگاه فناوری اطلاعات گراز،  این نقص امنیتی احتمالا بدترین نقص یافت شده در CPU ها تا به امروز می باشد.

ما چه کاری در مورد نقص امنیتی Meltdown and Spectre باید انجام دهیم ؟

Meltdown and Spectre در حال حاظر برروی پردازشگرهای Intel که از سال ۱۹۹۵ به بعد تولید شده اند تاثیر گذاشته است به جز چیپ هایی که توسط Itanium   و پردازشگرهای Atom که قبل از سال ۲۰۱۳ تولید شده است. این نقص امنیتی به هکرها این اجازه را می دهد که مانع سخت افزاری بین نرم افزارهای اجرا شدن توسط کاربر و حافظه مرکزی کامپیوتر را دور بزنند. بنابراین Meltdown به تغییر در نحوه عملکرد سیستم عامل بر حافظه برای رفع شدن خطر نیاز دارد. پیش بینی می شود که این نقص به سرعت دستگاه ها در انجام وظایف خاصی تا ۳۰% تاثیر بگذارد.

نقص Spectre برروی جدیدترین نسل پردازشگرهایی که توسط تولیدکنندگان CPU مانند Intel و AMD تولید شده یا توسط ARM طراحی شده است تاثیر داشته است. این نقص امنیتی به هکرها اجازه می دهد که با استفاده از ترفندهای خطا-آزاد برای دستیابی به اطلاعات محرمانه اپلیکیشن ها استفاده کنند. طبق نظر محققین سو استفاده از Spectre برای هکرها نسبتا دشوار است ولی با این وجود رفع این نقص امنیتی نیز با سختی های زیادی روبرو خواهد بود و در بلند مدت مشکل بزرگتری خواهد بود.

شرکتهای اینتل و ای آر ام، می گویند که این مشکل به دلیل نقص طراحی نیست با این وجود کاربران می توانند با دانلود کردن وصله و به روز کردن سیستم عامل این مشکل را حل کنند.

بنا به گفته رویترز به نقل از فابین بیمر ، شرکت اینتل شروع به ارائه نرم افزار و سخت افزارهای به روز شده برای کاهش خطرات این نقص امنیتی کرده است. شرک اینتل درمورد تاثیر این نقص بر سرعت عملکرد سیستم ها می گوید که : هر گونه تاثیر بر روی عملکرد سیستم بسته به حجم کار دارد و برای کاربران معمولی کامپیوتر این تاثیر قابل توجه نیست و همچنین در طول زمان میزان تاثیر آن کم تر خواهد شد.

شرکت گوگل می گوید که به شرکت های تولید کننده از ابتدای ماه جون سال ۲۰۱۷ در مورد این نقص خبر داده است. هر دو کمپانی اینتل و گوگل گفتند که برنامه آنها این بوده است که در ۹ ژانویه ۲۰۱۸ بعد از اینکه راه حل های کامل تری برای این نقص داشته باشند جزئیات را به گوش عموم برسانند اما مجبور شدند که زودتر این خبر را گزارش کنند. دلیل اینکه زودتر این خبر را گزارش کرده اند سقوط سهام اینتل به میزان ۳.۴% در روز چهارشنبه به دلیل گزارش کاهش سرعت پردازشگرهای آن بوده است.

گوگل و محققین امنیتی می گویند به دلیل اینکه سو استفاده از Meltdown or Spectre دشوار می باشد احتمالا برای هکرها خیلی مشکل خواهد بود که بتوانند قبل از ارائه راه حل کامل حمله گسترده ای را صورت بدهند.

بنا به نظر محققین امنیتی اف سکیور هکرها به سرعت شروع به نوشتن کدهایی برای حمله و استفاده از این نقص امنیتی و آسیب پذیری خواهند بود. محققین می گویند که اپل و مایکروسافت وصله های خود را برای کاربران کامپیوترهای رومیزی که توسط Meltdown آسیب دیده اند بیرون داده اند. این وصله همچنین برای کاربران لینوکس هم فراهم شده است. مایکروسافت می گوید که آنها وصله امنیتی مربوطه را، با آپدیت تاریخ ۳ ژانویه برای کاربران ویندوز انجام داده اند و کاربران ویندوز که سیستم عامل خود را ۳ ژانویه به روز کرده اند به مشکلی برخورد نخواهند کرد.

تمام دستگاه های مک و iOS تحت تاثیر این آسیب پذیری قرار گرفته اند اما بنا بر گفته اپل هنوز هیچ نشانه ای از سو استفاده از این آسیب پذیری برای کاربران این کمپانی دیده نشده است.

اپل به مشتریان خود پیشنهاد می کند که هر چه سریعتر سیستم عامل دستگاه های خود را به روز رسانی کنند و نرم افزارهای خود را تنها از منابع معتبر مانند اپل استور دانلود نمایند.

گوگل نیز می گوید که کاربران اندروید که آپدیت های امنیتی اخیر را گرفته باشند از  آسیب Meltdown and Spectre در امان هستند . این وصله برای تمام کاربران اندروید شامل Nexus, Pixel  و Chromebooks نیز می شود.

ARM نیز می گوید که وصله امنیتی هم اکنون در اختیار تمام شرکتهای همکار قرار گرفته است.

اکنون هنوز مشخص نیست که آیا شرکت اینتل با مشکلات مالی در رابطه با این نقص امنیتی برخورد خواهد کرد یا خیر. مشکلی که اینتل با آن روبرو است این است که آیا لازم است که CPU های خود را جایگزین کند یا خیر.

اخطار مهم :

به همه خوانندگان سایسک پیشنهاد می کنیم که حتما سیستم های عامل خود را به روز کنید تا دچار پیامدهای ناشی از این نقص امنیتی نشوید.

منبع : گاردین

 


Meltdown and Spectre بزرگترین نقص امنیتی تمام پردازشگرها


 

 

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *