اخیراً خبری مبنی بر کشف آسیبپذیری بر روی تراشههای اینتل منتشر شد. در این خبر آمده است: “این آسیبپذیری همهی پردازندههای مهم از جمله AMD، ARM و Intel را تحت تأثیر قرار میدهد. این آسیبپذیریهای سختافزاری به دو حمله با نامهای (Meltdown (CVE-2017-5754 و (Spectre (CVE-2017-5753 , CVE-2017-5715 دستهبندی شدهاند که میتوانند به مهاجمان امکان دزدیدن دادههای حساسی که در حال حاضر بر روی کامپیوتر در حال پردازشتند را بدهند.”
پیرو خبر منتشر شده پچهایی برای این آسیبپذیریها ارائه شد. اما اکنون با خبر جدیدی روبرو شدیم: پچ های اینتل برای آسیبپذیریهای Meltdown و Spectre را نصب نکنید!
روز دوشنبه اینتل طی هشداری اعلام کرد که نسخههای فعلی پچهای Meltdown و Spectre را نصب نکنید.
Meltdown و Spectre آسیبپذیریهای امنیتی هستند که اخیراً توسط محققین در بسیاری از پردازندههای شرکتهای AMD، ARM و Intel که در PCهای مدرن، سرورها، تلفنهای هوشمند ( و دستگاههای دیگر) مورد استفاده قرار می گیرند کشف شده است. این آسیبپذیریها به هکر اجازه میدهند پسوردها، کلیدهای رمزنگاری و سایر اطلاعات شخصی شما را سرقت کنند.
از هفته پیش کاربران گزارش میدهند که پس از نصب پچهای منتشر شده توسط اینتل برای Meltdownو ،Spectre بر روی کامپیوترهایی که تحت تاثیر آسیب پذیری بودهاند، با مشکلاتی نظیر ریستارت شدن سیستم و سایر رفتارهای غیرعادی سیستم روبرو شدهاند.
با ادامه این مشکلات اینتل توصیه میکند که OEMها، ارائهدهندگان خدمات Cloud، تولیدکنندگان سیستم، فروشندگان نرمافزار و نیز کاربران نهایی، نسخههای فعلی این پچها را در سیستم خود نصب کنند تا زمانی که توسعهدهندگان راهحلی برای رفع این مشکل ارائه دهند.
اینتل در press release که روز دوشنبه منتشر شد بیان کرد: “ما اکنون عامل اصلی در PlatformeهایHaswell و Broadwell را شناسایی کردهایم و پیشرفتهای خوبی برای ارائه راهحل آن داشتهایم.”
از اواخر هفته گذشته، یک نسخه آزمایشی اولیه از راهحل بروز شده را برای شرکای تجاری ارائه کردیم و پس از اتمام آزمایشات نسخه نهایی را منتشر خواهیم کرد.”
در این میان، لینوس توروالدز (Torvalds Linus) طی یک مکالمه ایمیلی، از رویکرد اینتل در محافظت از هسته لینوکس در برابر نقص Meltdown و Spectre ابراز نا خرسندی کرد. او میگوید :
” آنها واقعا کارهای غیر عاقلانه انجام میدهند .کارهایی میکنند که منطقی نیست. من واقعآ نمیخواهم این پچهای زباله را ببینم که کاملا بی فایده هستند.”
توروالدز میگوید : “من فکر میکنم ما به چیزی بهتر از این زباله ها نیاز داریم.”
پچهای اینتل به کاربران اجازه میدهند که بصورت دستی، در زمان راهاندازی سیستم، تنظیمات آن را فعال و ثبت کنند. در حالی که پچهای امنیتی برای چنین نقص بحرانی باید بصورت خودکار عمل کنند!
این همان دلیلی است که IBRS (SpeculationRestricted Indirect Branch) _یکی از سه پچ سختافزاری جدید که توسط اینتل پیشنهاد شده_ برای بروز رسانی میکروکدهای CPU بسیار نا کارآمد است. پچهای جدید اینتل به زودی در دسترس خواهند بود.
منبع:
https://thehackernews.com/2018/01/intel-meltdown-spectre-patch.html