Két biztonsági rés bukkant fel az AMD processzoraiban
Két olyan biztonsági résre derült fény, amely processzorokat érint. Ezúttal az AMD CPU-k kerültek célkeresztbe.Az utóbbi időben már számos olyan sebezhetőség látott napvilágot, amelyek széles körben használt processzorokban találhatók. Ezek közül a legnagyobb "hírnévre" a Spectre, valamint a Meltdown tett szert. Összességében elmondható, hogy mind az Intel, mind az AMD megoldásai tartalmaznak sérülékenységeket, azonban ezek veszélyessége már változó. A napokban publikált biztonsági rések jóval kisebb kockázatot hordoznak, mint például a Meltdown.
Irány az AMD
Biztonsági kutatók egy csoportja ezúttal az AMD processzorait vette górcső alá. A szakértői csoportban olyan személyek is helyet kaptak, akik korábban részt vettek a Meltdown és a Spectre sebezhetőségek feltérképezésében. A csapat az aprólékos kutatómunkát követően végül két sérülékenységet tudott kimutatni, amelyeket Collide+Probe, illetve Load+Reload névvel illetett.
Mindkét biztonsági hiba az AMD processzoraiban volt kimutatható. A kutatók szerint a 2011-2019 között gyártott CPU-k estében lehet kihasználni a biztonsági rést, amely az L1D (L1-data) cache-eléssel összefüggő előrejelző (prediktív) mechanizmusokban található. Vagyis ezek a hibák is a spekulatív végrehajtással összefüggésben merültek fel, hasonlóan több, korábban feltárt rendellenességhez.
Szerencsére a mostani két hiba nem jelent akkora veszélyt, mivel alapvetően "csak" néhány bitnyi metaadat kiszivárgásához képesek hozzájárulni, és inkább egyéb, például a Spectre hibával együtt történő kihasználásuk okoz számottevőbb kockázatot. A kutatóknak például ilyen módon sikerült egy AES-kulcsot kibányászniuk az egyik vizsgált számítógépen.
A biztonsági rés kihasználásához szükség van arra, hogy a támadó a célkeresztbe állított rendszeren - legalább alacsony szintű jogosultságokkal - kódokat tudjon futtatni. Collide+Probe akár webböngészőn keresztül (JavaScript kódokkal) is kiaknázhatóvá válhat, de ilyen módon csak lassan és viszonylag körülményesen lehet egy támadást végrehajtani.
AMD-reakció
Az AMD reagált a biztonsági kutatók jelentésére. A vállalat közölte, hogy véleménye szerint nem egy új típusú sérülékenységről van szó, de azt nem tudni, hogy ettől miért is érezhetnénk jobban magunkat. A kutatók is közölték, hogy soha nem állították azt, hogy most találták fel a spanyolviaszt, és valóban nem teljesen új (spekulatív-típusú) támadási módszerekről van szó. Ettől azonban a sebezhetőségek még léteznek, és azokhoz hibajavítás jelenleg nem érhető el.
Az AMD egyelőre általános kockázatcsökkentő javaslatokkal állt elő: naprakész operációs rendszerek használata, firmware-ek gyakori frissítése és nem utolsó sorban biztonságos szoftverfejlesztésre való törekvés.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.