Nyolc új sebezhetőséggel gyarapodhat a Spectre listája
Az újabb, napokon vagy heteken belül napvilágra kerülő biztonsági hibák elsősorban az Intel processzorait érinthetik, de az AMD és az ARM sem marad ki.
Hamarosan nyolc darab új sebezhetőséggel bővül a Spectre hibák listája - állítja egy exkluzív forrásra hivatkozva a német c't magazin. Az értesülés szerint a hibákat az Intel egyes, meg nem nevezett mikroarchitektúráiban találták az egyelőre ugyancsak névtelenségbe burkolózó biztonsági szakemberek, de amennyiben hinni lehet a híreknek, úgy az AMD és az ARM egyes fejlesztései is érintettek az újabb sebezhetőségek egyes tagjaival. Az újság által csak Spectre-NG (New Generation) néven emlegetett biztonsági hibák közül négyet az Intel magas, másik négyet pedig közepes kockázatúként kezel. A c't állítja, a processzorgyártó már lázasan dolgozik a javításokon, amelyek publikálásának dátumáról ugyanakkor megoszlanak a hírek.
A szóban forgó német magazin információi szerint a Spectre újabb variánsait már több biztonsági kutatócsapat jelezte az Intelnek. Ebben vélhetően közrejátszott a január elején napvilágot látott Spectre/Meltdown hibák hatására megnyitott bugvadász program, amelyben akár 250 000 dollár is ütheti a becsületes, biztonsági hibát bejelentő markát. A c't értesülései alapján a több mint fél tucat új Spectre variáns ugyanarra a tervezési problémára, a helytelenül implementált spekulatív végrehajtásra vezethető vissza, ám azt egyelőre nem tudni, hogy ennek gyökere hol húzódik, és a magazin kézenfekvő biztonsági okokra hivatkozva nem is közöl(ne) konkrétumokat a javítások érkezéséig.
A magazin szerint a nyolc új hiba külön CVE hibaazonosító alatt érkezik. Az Intel állítólag az operációs rendszerek készítővel kooperálva dolgozik a patcheken, amely remélhetőleg azt jelenti, hogy a gyártó tanult a Spectre/Meltdown javítások problémáiból. A javításokkal ugyanis több probléma is felmerült, ami miatt a Microsoft például egy soron kívüli frissítéssel tiltotta le a Spectre második variánsára kiadott foltozást. Nem sokkal korábban Linus Torvalds minősítette hulladéknak az Intel Spectre 2 sebezhetőségre adott javítását, amelyről végül az Intel is elismerte, hogy komoly problémákat hordoz, instabillá, kiszámíthatatlanná teheti a rendszer működését és váratlan újraindulásokat produkál.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A c't értesülései szerint az Intel két hullámban, májusban, vagyis még ebben a hónapban, illetve augusztusban publikálja a javításokat, amelyekkel párhuzamosan az újabb variánsok részleteire is fény derülhet. Ezzel szemben a Guru3D úgy tudja, hogy az első hullám május 21-re tervezett kiadását gyártó már elhalasztotta, azok csak bő másfél hónappal később, július 10 magasságában jelenhetnek meg. Mindez ugyanakkor még nem feltétlenül jelenti azt, hogy eddig kell várni a hibák részleteire, a német magazin írása alapján ugyanis a Microsoft egy saját javításon dolgozik, amivel áthidalható lehet a köztes, a mikrokód frissítés elkészültéig tartó pár hetes időszak.
Egyszerűbb, veszélyesebb
A c't állítása szerint biztonsági hibák közül négyet magas, négyet pedig közepes kockázatúként sorolt be az Intel. Az egyik, nagyobb veszélyt hordozó Spectre-NG hiba a korábbiaknál lényegesen egyszerűbben kiaknázható támadási felületet biztosít, amivel a támadó kártékony kódot futtathat a processzoron futó valamely szomszédos virtuális gépen. Ez leginkább publikus felhőszolgáltatásoknál lehet kritikus, ahol létező veszély a vendég oldalról a hypervisor támadása és komoly kockázat a többi vendég operációs rendszer adatának kiolvasása, manipulálása.