Két biztonsági rés bukkant fel az AMD processzoraiban
Két olyan biztonsági résre derült fény, amely processzorokat érint. Ezúttal az AMD CPU-k kerültek célkeresztbe.
Az utóbbi időben már számos olyan sebezhetőség látott napvilágot, amelyek széles körben használt processzorokban találhatók. Ezek közül a legnagyobb "hírnévre" a Spectre, valamint a Meltdown tett szert. Összességében elmondható, hogy mind az Intel, mind az AMD megoldásai tartalmaznak sérülékenységeket, azonban ezek veszélyessége már változó. A napokban publikált biztonsági rések jóval kisebb kockázatot hordoznak, mint például a Meltdown.
Irány az AMD
Biztonsági kutatók egy csoportja ezúttal az AMD processzorait vette górcső alá. A szakértői csoportban olyan személyek is helyet kaptak, akik korábban részt vettek a Meltdown és a Spectre sebezhetőségek feltérképezésében. A csapat az aprólékos kutatómunkát követően végül két sérülékenységet tudott kimutatni, amelyeket Collide+Probe, illetve Load+Reload névvel illetett.
Mindkét biztonsági hiba az AMD processzoraiban volt kimutatható. A kutatók szerint a 2011-2019 között gyártott CPU-k estében lehet kihasználni a biztonsági rést, amely az L1D (L1-data) cache-eléssel összefüggő előrejelző (prediktív) mechanizmusokban található. Vagyis ezek a hibák is a spekulatív végrehajtással összefüggésben merültek fel, hasonlóan több, korábban feltárt rendellenességhez.
Szerencsére a mostani két hiba nem jelent akkora veszélyt, mivel alapvetően "csak" néhány bitnyi metaadat kiszivárgásához képesek hozzájárulni, és inkább egyéb, például a Spectre hibával együtt történő kihasználásuk okoz számottevőbb kockázatot. A kutatóknak például ilyen módon sikerült egy AES-kulcsot kibányászniuk az egyik vizsgált számítógépen.
A biztonsági rés kihasználásához szükség van arra, hogy a támadó a célkeresztbe állított rendszeren - legalább alacsony szintű jogosultságokkal - kódokat tudjon futtatni. Collide+Probe akár webböngészőn keresztül (JavaScript kódokkal) is kiaknázhatóvá válhat, de ilyen módon csak lassan és viszonylag körülményesen lehet egy támadást végrehajtani.
AMD-reakció
Az AMD reagált a biztonsági kutatók jelentésére. A vállalat közölte, hogy véleménye szerint nem egy új típusú sérülékenységről van szó, de azt nem tudni, hogy ettől miért is érezhetnénk jobban magunkat. A kutatók is közölték, hogy soha nem állították azt, hogy most találták fel a spanyolviaszt, és valóban nem teljesen új (spekulatív-típusú) támadási módszerekről van szó. Ettől azonban a sebezhetőségek még léteznek, és azokhoz hibajavítás jelenleg nem érhető el.
Az AMD egyelőre általános kockázatcsökkentő javaslatokkal állt elő: naprakész operációs rendszerek használata, firmware-ek gyakori frissítése és nem utolsó sorban biztonságos szoftverfejlesztésre való törekvés.
-
A Lenovo Vantage három biztonsági javítással bővült.
-
A Splunk Enterprise-hoz biztonsági frissítések érkeztek.
-
Az Adobe kritikus veszélyességű hibákat is javított a ColdFusion esetében.
-
Az Adobe kiadta az Illsutrator legújabb verzióit, amelyek révén 10 biztonsági hibát szüntetett meg.
-
Az Adobe hat sebezhetőséget orvosolt az InDesignban.
-
15 biztonsági javítással gyarapodott az Adobe FrameMaker.
-
Az SAP kiadta a júliusi biztonsági frissítéseit.
-
A Microsoft jelentős mennyiségű hibajavítást tett letölthetővé a Windows-hoz.
-
Egy tucat biztonsági frissítés vált letölthetővé az Office szoftvercsomaghoz.
-
A Microsoft három biztonsági rést foltozott be az SQL Serveren.
A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.
Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.
OLDALUNK
RSSImpresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat