یک تیم از محققان امنیتی به تازگی اعلام کردند که هشت آسیب پذیری کامل از کلاس Spectre کشف کرده اند. محققان می گویند این نقص های امنیتی عمدتا بر روی CPU های ساخت شرکت اینتل وجود دارند اما برخی از پردازنده های ساخت کمپانی های AMD و ARM را نیز تحت تاثیر قرار می دهد.
این آسیب پذیری ها که از نوع Spectre هستند Spectre-Next Generation یا Spectre-NG نام گرفته اند. جزئیات نسبی این آسیب پذیری ها برای اولین بار در مقاله ای در مجله ی کامپیوتری Heise آلمان منتشر شد و در آن ادعا شد که کمپانی اینتل از این آسیب پذیری ها اطلاع دارد و چهار مورد از آن ها را در رده ی آسیب پذیری های خطرناک و چهار مورد دیگر را در رده ی آسیب پذیری های سطح متوسط قرار داده است.
به گفته ی محققان معایب جدیدی که در CPU ها کشف شده اند ریشه در طراحی پردازنده ها دارند و از نسل نقص امنیتی Spectre هستند. در گزارش منتشر شده اعلام شده است که یکی از معایب تازه کشف شده به مهاجمان اجازه دسترسی به یک ماشین مجازی در هاست را می دهد تا به راحتی به سیستم میزبان حمله کند. این نقص بطور بالقوه از آسیب پذیری Spectre جدی تر و مخرب تر است.
این نقص همچنین به مهاجم این اجازه را می دهد تا به ماشین های مجازی دیگر کاربران که از سرور استفاده می کنند حمله کند. رمز های عبور و کلید های مخفی اطلاعات در انتقال داده ها بسیار مهم هستند و این امر با وجود چنین نقصی به خطر افتاده است. تمامی سیستم هایی که از پردازنده های معیوب استفاده می کنند و مبتنی بر فضای ابری هستند در معرض خطر جدی قرار دارند.
آسیب پذیری Spectre-NG براحتی می تواند در سراسر مرز های سیستم مورد استفاده قرار بگیرد و خطر را به سطح جدیدی انتقال داده است. شرکت هایی مانند آمازون و Cloudflare که خدمات ابری ارائه می دهند باید مراقب این نقص باشند تا خود و کاربرانشان مورد حمله قرار نگیرند. اگر شما از نقص امنیتی Spectre اطلاعی ندارید، باید بدانید که این نقص از موتور اجرایی پردازنده ها ناشی می شود و باعث می گردد تا یک برنامه ی مخرب بتواند به اطلاعاتی مانند رمز های عبور، کلید های رمزگذاری شده و اطلاعات مهم دسترسی پیدا کند.
مجله ی آلمانی که این نقص ها را منتشر کرد، نام محققانی که این نقص ها را کشف کردند محفوظ نگه داشته است و ما با جستجو فهمیدیم که یکی از این نقص ها توسط محقق امنیتی گوگل در پروژه Zero کشف شده است. مجله ی آلمانی همچنین در مقاله اش ادعا کرده است که محقق امنیتی گوگل 88 روز قبل این نقص را به شرکت تولید کننده ی پردازنده اطلاع داده است. این یعنی شرکت از تاریخ 7 می سال 2018 در جریان جزئیات حداقل یکی از این نقص ها بوده است و چیزی از آن ها به کاربران نگفته است.
مسئولیت افشای نقص امنیتی Spectre NG کاری است که به نظر سخت می آید و محققانی که این نقص ها را کشف کرده اند جهت پیشبرد اهدافشان دوست ندارند نامشان فاش شود.
اینتل، ابر کمپانی ساخت پردازنده های مختلف پاسخی مناسب به پرسش ها در مورد نقص های تازه کشف شده نداد و در بیانیه ای که در ادامه برایتان آورده ایم، نه این مشکل را تایید و نه رد کرد. بیانیه ی این شرکت بصورت زیر است:
” حفاظت از اطلاعات مشریان و همچنین اطمینان از امنیت محصولات اولویت اصلی شرکت اینتل است و ما بطور مرتب با مشتریان، شرکا و سایر سازندگان تراشه ها در ارتباط هستیم تا از بروز هرگونه مشکل جلوگیری کنیم. ما به افشا گری و در جریان قرار دادن مشتریانمان باور داریم و آن ها را از وجود هرگونه مشکل با خبر می سازیم؛ برای نشان دادن صداقتمان نیز می توانیم به این توصیه که می گوییم همواره سیستمتان را بروز نگه دارید استناد کنیم.”
خبرنگار مجله ی Heise نیز از هرگونه پاسخ به سوالات و ابراز نظر در مورد آسیب پذیری های رایج امتناع کرده است و گفته است که سخن گفتن درمورد این مشکلات ممکن است در این برهه ی زمانی به نفع هیچکس نباشد.
بروزرسانی های جدید امنیتی
آسیب پذیری Spectre-NG بر روی پردازنده های اینتل و برخی از پردازنده های شرکت ARM تاثیر گذار است اما تاثیر پذیری پردازنده های ساخت شرکت AMD هنوز تایید نشده است. طبق گفته ی مجله ی آلمانی شرکت اینتل این آسیب پذیری را تایید کرده است و قصد دارد برای رفع آن چندین بروزرسانی امنیتی منتشر کند.
مایکروسافت نیز قصد دارد برای حل این مشکل یک بروزرسانی جدید در ماه های آینده منتشر کند. بروزرسانی های امنیتی بهترین گزینه برای رفع این نقص ها نیستند و ممکن است عملکرد دستگاه را تحت تاثیر قرار دهند.
