Körkép: sebezhető Intel processzorok, szaporodó javítások
A múlt héten napvilágra került Intel MDS sebezhetőségek miatt számos gyártó kényszerült biztonsági frissítések kiadására. Most áttekintjük, hogy hogyan is állunk ezen a téren.A múlt héten napvilágra került Intel MDS sebezhetőségek miatt számos gyártó kényszerült biztonsági frissítések kiadására. Most áttekintjük, hogy hogyan is állunk ezen a téren.
Az Intel egyes processzorainak kapcsán újabb sérülékenységekre derült fény, amelyek összefoglaló néven MDS-ként (Microarchitectural Data Sampling) váltak ismertté. Valójában négy biztonsági hibáról van szó, amik az alábbi CVE-azonosítókkal rendelkeznek:
- CVE-2018-12126 - Microarchitectural Store Buffer Data Sampling (MSBDS)
- CVE-2018-12130 - Microarchitectural Fill Buffer Data Sampling (MFBDS)
- CVE-2018-12127 - Microarchitectural Load Port Data Sampling (MLPDS)
- CVE-2019-11091 - Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
Ilyen problémákkal az Intel nem először találkozik, hiszen a korábban ismerté vált Spectre és Meltdown sebezhetőségek is hasonló kockázatokat vetettek fel. Ezúttal is a spekulatív végrehajtással összefügésben merültek fel a rendellenességek, amelyek megszüntetésére hardveres és szoftveres megoldások egyaránt léteznek.
A hardveres kockázatcsökkentés gyanánt az Intel nemes egyszerűséggel azt javasolta, hogy akinek van rá lehetősége használjon újabb, korszerűbb processzorokat, mivel a biztonsági rések kockázatait az újabb 8. és 9. generációs Intel Core processzorokba, valamint a második generációs (skálázható) Xeon CPU-kba épített védelmi mechanizmusok megszüntetik. Sajnos azonban a 2011 óta kiadott, minden egyéb Intel processzor sebezhetőnek tekintendő. Az AMD és ARM processzorokat a négy sérülékenység nem érinti.
A szoftveres védelem terén BIOS, firmware, mikrókód és egyéb, operációs rendszer szintű frissítések jöhetnek szóba. A fejlesztők ezeket már el is kezdték kiadni, de a jövőben még sok javítás várható. E frissítések kapcsán meg kell jegyezni, hogy a telepítésük biztonsági szempontból nagyon is fontos, ugyanakkor a teljesítményre negatív hatással lehetnek, hasonlóan, ahogy annak idején a Spectre és Meltdown esetében is történt mindez. Az Intel kiadott egy útmutatót a teljesítményre gyakorolt hatásról, de természetesen mindez függ az éppen használt alkalmazásoktól is.
A következőkben egy rövid körkép következik arról, hogy az egyes gyártók miként reagáltak az Intel CPU-k újabb biztonsági problémáira.
Apple
Az Apple a macOS Mojave 10.14.5 kiadásával gondoskodott arról, hogy az MDS-sebezhetőségek ne jelentsenek veszélyt a Mac-gépekre. A régebbi, Mac OS X verziók frissítéséhez pedig érdemes átböngészni a vállalat 2019-003-as biztonsági közleményét.
Microsoft
A Microsoft elkezdte kiadni az MDS-elleni frissítéseket a Windowshoz. Sajnálatos módon egyelőre a Windows 10 legújabb (1809-es) kiadásához, illetve a Windows Server 2019-hez még nem készültek el a patch-ek. Így lesz még teendő a közeljövőben.
A Google jelezte, hogy az Androidot futtató eszközök túlnyomó többségét nem sújtják a szóban forgó rendellenességek. A felhős infrastruktúrájában pedig nagyrészt elvégezte a szükséges kockázatcsökkentő tevékenységeket, így a G Suite és a Google Cloud Platform felhasználói már védettek. Ugyanakkor a vállalat nem zárta ki annak lehetőségét, hogy néhány felhős szolgáltatás esetében az ügyfelek közreműködésére is szükség lesz a hibák megszüntetése érdekében.
VMware
A VMware szerint azon szervezeteket érintheti az MDS-probléma, amelyek használnak VMware vCenter Server, vSphere ESXi, Workstation, Fusion, vCloud Usage Meter, Identity Manager, vCenter Server, vSphere Data Protection, vSphere Integrated Containers vagy vRealize Automation szoftvereket. A hypervisor szintű javítások folyamatosan érkeznek, ezért érdemes figyelni a frissítésekre. A VMware megjegyezte, hogy a sérülékenységek kizárólag akkor válhatnak kihasználhatóvá, ha a támadó hozzáfér a sebezhető virtuális gépekhez, és azokon rendelkezik kódfuttatáshoz szükséges jogosultságokkal.
IBM
Az IBM szerint a POWER processzorokkal nincs gond, de az Intel alapú termékeihez folyamatosan adja ki a (mikrókód) frissítéseket.
Citrix
A Citrix közölte, hogy hypervisor és mikrókód frissítésekkel igyekszik csökkenteni az MDS-sebezhetőségek kockázatait. A XenServer 7.1-hez már elérhetővé váltak a szükséges patch-ek, de a cég többi terméke is hamarosan immunissá válik a négy sérülékenységgel szemben.
Oracle
Az Oracle az Intel MDS hírek kapcsán kiemelte, hogy a SPARC alapú szervereken futó Solaris-t nem kell frissíteni, de az x86-alapúakat igen. Az Oracle Linux és VM Server is megkapta a foltokat.
Amazon
Az Amazon Web Services (AWS) esetében az Amazon megtette a szükséges lépéseket, és a teljes infrastruktúrája védett az MDS-hibákkal szemben. A vállalat jelezte, hogy az AWS-ügyfeleknek nincs további teendőjük a hibajavításokkal összefüggésben. Az Amazon Linux AMI 2018.3 és az Amazon Linux 2 viszont patch-elésre szorul.
Xen Project
A Xen Project fejlesztői szerint a Xen összes olyan példánya sérülékeny, amelyek sebezhető CPU-kat tartalmazó rendszereken futnak. A hibajavítások úton vannak.
Linux
A Linux esetében mind a kernel, mind a disztribúciók fejlesztői résen vannak, és folyamatosan dolgoznak a frissítések kiadásán. A javításokat a Red Hat, a Debian, az Ubuntu és a SUSE csapata már elkezdte elérhetővé tenni.
Hardverek
A hardvergyártó is dolgoznak a szükséges firmware, illetve BIOS frissítések elkészítésén. Ebből a szempontból most a HP és a Lenovo áll a legjobban, de minden bizonnyal hamarosan a többi cég is elkezdi teríteni a javításokat.
-
Az Apple iTunes for Windows szoftverhez egy biztonsági frissítés érkezett.
-
A Microsoft Edge webböngésző két sebezhetőség miatt szorul frissítésre.
-
A Fortinet egy súlyos sebezhetőségről számolt be.
-
Az Adobe egy biztonsági hibát javított a ColdFusionben.
-
Az Adobe két sebezhetőségről számolt be a Premiere Pro kapcsán.
-
Az Adobe Lightroom egy fontos frissítést kapott.
-
Az Adobe 46 biztonsági rést foltozott be az Experience Manageren.
-
A Windows ismét jelentős mennyiségű hibajavítást kapott.
-
A Microsoft egy biztonsági javítást tett letölthetővé az Exchange Serverhez.
-
A Microsoft egy sérülékenységről számolt be az Office kapcsán.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.