Körkép: sebezhető Intel processzorok, szaporodó javítások

A múlt héten napvilágra került Intel MDS sebezhetőségek miatt számos gyártó kényszerült biztonsági frissítések kiadására. Most áttekintjük, hogy hogyan is állunk ezen a téren.
 
hirdetés

A múlt héten napvilágra került Intel MDS sebezhetőségek miatt számos gyártó kényszerült biztonsági frissítések kiadására. Most áttekintjük, hogy hogyan is állunk ezen a téren.
 
Az Intel egyes processzorainak kapcsán újabb sérülékenységekre derült fény, amelyek összefoglaló néven MDS-ként (Microarchitectural Data Sampling) váltak ismertté. Valójában négy biztonsági hibáról van szó, amik az alábbi CVE-azonosítókkal rendelkeznek:
  • CVE-2018-12126 - Microarchitectural Store Buffer Data Sampling (MSBDS)
  • CVE-2018-12130 - Microarchitectural Fill Buffer Data Sampling (MFBDS)
  • CVE-2018-12127 - Microarchitectural Load Port Data Sampling (MLPDS)
  • CVE-2019-11091 - Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
 
Ilyen problémákkal az Intel nem először találkozik, hiszen a korábban ismerté vált Spectre és Meltdown sebezhetőségek is hasonló kockázatokat vetettek fel. Ezúttal is a spekulatív végrehajtással összefügésben merültek fel a rendellenességek, amelyek megszüntetésére hardveres és szoftveres megoldások egyaránt léteznek.
 
A hardveres kockázatcsökkentés gyanánt az Intel nemes egyszerűséggel azt javasolta, hogy akinek van rá lehetősége használjon újabb, korszerűbb processzorokat, mivel a biztonsági rések kockázatait az újabb 8. és 9. generációs Intel Core processzorokba, valamint a második generációs (skálázható) Xeon CPU-kba épített védelmi mechanizmusok megszüntetik. Sajnos azonban a 2011 óta kiadott, minden egyéb Intel processzor sebezhetőnek tekintendő. Az AMD és ARM processzorokat a négy sérülékenység nem érinti.
 
A szoftveres védelem terén BIOS, firmware, mikrókód és egyéb, operációs rendszer szintű frissítések jöhetnek szóba. A fejlesztők ezeket már el is kezdték kiadni, de a jövőben még sok javítás várható. E frissítések kapcsán meg kell jegyezni, hogy a telepítésük biztonsági szempontból nagyon is fontos, ugyanakkor a teljesítményre negatív hatással lehetnek, hasonlóan, ahogy annak idején a Spectre és Meltdown esetében is történt mindez. Az Intel kiadott egy útmutatót a teljesítményre gyakorolt hatásról, de természetesen mindez függ az éppen használt alkalmazásoktól is.
 
A következőkben egy rövid körkép következik arról, hogy az egyes gyártók miként reagáltak az Intel CPU-k újabb biztonsági problémáira.
 
Apple
 
Az Apple a macOS Mojave 10.14.5 kiadásával gondoskodott arról, hogy az MDS-sebezhetőségek ne jelentsenek veszélyt a Mac-gépekre. A régebbi, Mac OS X verziók frissítéséhez pedig érdemes átböngészni a vállalat 2019-003-as biztonsági közleményét.
 
Microsoft
 
A Microsoft elkezdte kiadni az MDS-elleni frissítéseket a Windowshoz. Sajnálatos módon egyelőre a Windows 10 legújabb (1809-es) kiadásához, illetve a Windows Server 2019-hez még nem készültek el a patch-ek. Így lesz még teendő a közeljövőben.
 
Google
 
A Google jelezte, hogy az Androidot futtató eszközök túlnyomó többségét nem sújtják a szóban forgó rendellenességek. A felhős infrastruktúrájában pedig nagyrészt elvégezte a szükséges kockázatcsökkentő tevékenységeket, így a G Suite és a Google Cloud Platform felhasználói már védettek. Ugyanakkor a vállalat nem zárta ki annak lehetőségét, hogy néhány felhős szolgáltatás esetében az ügyfelek közreműködésére is szükség lesz a hibák megszüntetése érdekében.
 
VMware
 
A VMware szerint azon szervezeteket érintheti az MDS-probléma, amelyek használnak VMware vCenter Server, vSphere ESXi, Workstation, Fusion, vCloud Usage Meter, Identity Manager, vCenter Server, vSphere Data Protection, vSphere Integrated Containers vagy vRealize Automation szoftvereket. A hypervisor szintű javítások folyamatosan érkeznek, ezért érdemes figyelni a frissítésekre. A VMware megjegyezte, hogy a sérülékenységek kizárólag akkor válhatnak kihasználhatóvá, ha a támadó hozzáfér a sebezhető virtuális gépekhez, és azokon rendelkezik kódfuttatáshoz szükséges jogosultságokkal.
 
IBM
 
Az IBM szerint a POWER processzorokkal nincs gond, de az Intel alapú termékeihez folyamatosan adja ki a (mikrókód) frissítéseket.
 
Citrix
 
A Citrix közölte, hogy hypervisor és mikrókód frissítésekkel igyekszik csökkenteni az MDS-sebezhetőségek kockázatait. A XenServer 7.1-hez már elérhetővé váltak a szükséges patch-ek, de a cég többi terméke is hamarosan immunissá válik a négy sérülékenységgel szemben.
 
Oracle
 
Az Oracle az Intel MDS hírek kapcsán kiemelte, hogy a SPARC alapú szervereken futó Solaris-t nem kell frissíteni, de az x86-alapúakat igen. Az Oracle Linux és VM Server is megkapta a foltokat.
 
Amazon
 
Az Amazon Web Services (AWS) esetében az Amazon megtette a szükséges lépéseket, és a teljes infrastruktúrája védett az MDS-hibákkal szemben. A vállalat jelezte, hogy az AWS-ügyfeleknek nincs további teendőjük a hibajavításokkal összefüggésben. Az Amazon Linux AMI 2018.3 és az Amazon Linux 2 viszont patch-elésre szorul.
 
Xen Project
 
A Xen Project fejlesztői szerint a Xen összes olyan példánya sérülékeny, amelyek sebezhető CPU-kat tartalmazó rendszereken futnak. A hibajavítások úton vannak.
 
Linux
 
A Linux esetében mind a kernel, mind a disztribúciók fejlesztői résen vannak, és folyamatosan dolgoznak a frissítések kiadásán. A javításokat a Red Hat, a Debian, az Ubuntu és a SUSE csapata már elkezdte elérhetővé tenni.
 
Hardverek
 
A hardvergyártó is dolgoznak a szükséges firmware, illetve BIOS frissítések elkészítésén. Ebből a szempontból most a HP és a Lenovo áll a legjobban, de minden bizonnyal hamarosan a többi cég is elkezdi teríteni a javításokat.
Vélemények
 
  1. 3

    A Lenovo Solution Center egy fontos biztonsági hibajavítást kapott.

  2. 3

    A McAfee Data Loss Prevention Endpoint for Windows alkalmazás két sebezhetőséget rejt.

  3. 2

    A Tepok trójai teljes mértékben használhatatlanná tudja tenni az általa megfertőzött számítógépeket.

 
Partnerhírek
​Dollármilliomosok lehetünk hibavadászattal

Komolyabb lett az Apple hibavadász programja, a fődíj immár a másfél millió dollárt is elérheti.

Amikor az alkalmazott a belső ellenség

Több mint öt éven keresztül az AT&T egyes munkatársai pénzt kaptak azért, hogy kártevőket és engedély nélküli hardvereket telepítsenek a vállalat belső hálózatába.

hirdetés
Közösség
1