هشدار اینتل به کاربران: پچ ‏های Meltdown و Spectre را نصب نکنید!

اخیراً خبری مبنی بر کشف آسیب‌پذیری بر روی تراشه‌های اینتل منتشر شد. در این خبر آمده است: “این آسیب‌پذیری همه‌ی پردازنده‌های مهم از جمله AMD، ARM و Intel را تحت تأثیر قرار می‌دهد. این آسیب‌پذیری‌های سخت‌افزاری به دو حمله با نام‌های (Meltdown (CVE-2017-5754 و (Spectre (CVE-2017-5753 , CVE-2017-5715 دسته‌بندی شده‌اند که می‌توانند به مهاجمان امکان دزدیدن داده‌های حساسی که در حال حاضر بر روی کامپیوتر در حال پردازشتند را بدهند.”

پیرو خبر منتشر شده پچ‌هایی برای این آسیب‌پذیری‌ها ارائه شد. اما اکنون با خبر جدیدی روبرو شدیم: پچ های اینتل برای آسیب‌پذیری‏‌های Meltdown و  Spectre  را نصب نکنید!

روز دوشنبه اینتل طی هشداری اعلام کرد که نسخه‌های فعلی پچ‌های Meltdown و  Spectre  را نصب نکنید.

Meltdown و  Spectre  آسیب‌پذیری‌های امنیتی هستند که اخیراً توسط محققین در بسیاری از پردازنده‌های شرکت‌های AMD،  ARM و Intel که در PC‌های مدرن، سرورها، تلفن‌های هوشمند ( و دستگاه‌های دیگر) مورد استفاده قرار می گیرند کشف شده است. این آسیب‌پذیری‌ها به هکر اجازه می‌دهند پسوردها، کلیدهای رمزنگاری و سایر اطلاعات شخصی شما را سرقت کنند.

از هفته پیش کاربران گزارش می‌دهند که پس از نصب پچ‌های منتشر شده توسط اینتل برای Meltdownو  ،Spectre بر روی کامپیوترهایی که تحت تاثیر آسیب پذیری بوده‌اند، با مشکلاتی نظیر ریستارت شدن سیستم و سایر رفتارهای غیرعادی سیستم روبرو شده‌اند.

با ادامه این مشکلات اینتل توصیه می‌کند که OEMها، ارائه‌دهندگان خدمات Cloud، تولیدکنندگان سیستم، فروشندگان نرم‌افزار و نیز کاربران نهایی، نسخه‌های فعلی این پچ‌ها را در سیستم خود نصب کنند تا زمانی‌ که توسعه‌دهندگان راه‌حلی برای رفع این مشکل ارائه دهند.

اینتل در press release که روز دوشنبه منتشر شد بیان کرد: “ما اکنون عامل اصلی در PlatformeهایHaswell و  Broadwell را شناسایی کرده‌ایم و پیشرفت‌های خوبی برای ارائه راه‌حل آن داشته‌ایم.”

از اواخر هفته گذشته، یک نسخه آزمایشی اولیه از راه‌حل بروز شده را برای شرکای تجاری ارائه کردیم و پس از اتمام آزمایشات نسخه نهایی را منتشر خواهیم کرد.”

در این میان، لینوس توروالدز (Torvalds Linus) طی یک مکالمه ایمیلی، از رویکرد اینتل در محافظت از هسته لینوکس در برابر نقص Meltdown و  Spectre ابراز نا خرسندی کرد. او می‌گوید :

” آنها واقعا کارهای غیر عاقلانه انجام می‌دهند .کارهایی می‌کنند که منطقی نیست. من واقعآ نمی‌خواهم این پچ‌های زباله را ببینم که کاملا بی فایده هستند.”

توروالدز می‌گوید : “من فکر می‌کنم ما به چیزی بهتر از این زباله ها نیاز داریم.”

پچ‌های اینتل به کاربران اجازه می‌دهند که بصورت دستی، در زمان راه‌اندازی سیستم‌، تنظیمات آن را فعال و ثبت کنند. در حالی‌ که پچ‌های امنیتی برای چنین نقص بحرانی باید بصورت خودکار عمل کنند!

این همان دلیلی است که IBRS (SpeculationRestricted  Indirect Branch) _یکی از سه پچ سخت‌افزاری جدید که توسط اینتل پیشنهاد شده_ برای بروز رسانی میکروکدهای CPU بسیار نا کارآمد است. پچ‌های جدید اینتل به زودی در دسترس خواهند بود.

 

منبع:

https://thehackernews.com/2018/01/intel-meltdown-spectre-patch.html