Odkritih osem novih Spectre NG ranljivosti, ki ogrožajo Intel procesorje

Ni še minilo leto dni, odkar sta Spectre in Meltdown pretresli IT svet do temeljev. Če v zadnjih tednih več nista najprivlačnejša tema za polnjenje naslovnic, se bi to utegnilo kmalu spremeniti. Nedavno je bilo namreč odkritih osem Spectre (princip) ranljivosti v Intel procesorjih.

Vse je kazalo na to, da se situacija počasi umirja. Po nekaj izdanih popravkih, ko smo se že vsi počutili varneje, so varnostni poznavalci posvarili pred novimi tveganji. In ponovno smo na začetku.

Na nemški spletni strani Heise sem naletel na streznitev, Spectre NG (Next Generation) varnostna tveganja, s katerimi je bil že pred časom seznanjen tudi Intel (morda se tudi v tem skriva razlog za nedavno pocenitev?). Kar štirim izmed njih je bila dodeljena oznaka visoko, preostalim pa srednje tveganje. Vsaka izmed njih zahteva lasten popravek in popolnoma mogoče je, da bodo prejele tudi samostojno poimenovanje. Za enim izmed razkritij stoji Google Project Zero, kar nam daje vsaj približen vpogled v to, kdaj lahko popravek pričakujemo. Googlovi elitni hekerji imajo splošno znan 90-dnevni rok, po katerem vse informacije brez slabe vesti spustijo na splet. Ta rok poteče 7. 5., kar pomeni, da bi morali prvo serijo obližev pričakovati v naslednjih dneh.

Tehnični detajli sicer še niso javno razkriti, ranljivosti in možnost napadalnih scenarijev močno spominjajo na predhodnika Spectre. Najbolj ogroženi so ponudniki oblačnih storitev in gostovanja v oblaku, saj lahko napadalci preko luknje pridobijo dostop do prenosa podatkov in dostopajo do varovanih podatkov.

Prav tako pri Heise navajajo, da so ogroženi tudi ARM procesorji, ni pa znano, če enako velja tudi za AMD produkte.

Intel je bil z napakami seznanjen in že dela na popravkih, med tem luknje krpajo tudi pri Microsoftu in preostalih izdelovalcih OS. Prišli bodo v dveh valovih, prvega pričakujemo že ta mesec, drugega malce kasneje v avgustu. Roke je treba jemati z določeno mero skepticizma, saj niso zavezujoči.

Največ zaskrbljenosti ob razkritju zbuja vprašanje, koliko zmogljivosti bomo vsakdanji uporabniki izgubili s tokratnim krpanjem in ali se bodo ob popravkih pojavljale enake težave kot pri predhodnikih, kjer je šlo celo tako daleč, da so nekatera podjetja uporabnikom priporočala negacijo posodobitev, vezanih na Spectre in Meltdown.

Tokrat je torej vse skupaj še nekoliko bolj nevarno. Čeprav je večino izmed osmih ranljivosti mogoče izkoristiti na podoben način kot pri Spectre, razen ene izjeme.

Ena izmed Spectre NG ranljivosti napad na sistem poenostavi do te mere, da upravičeno govorimo o večji grožnji kot v prvem aktu. Natančneje, napadalec bi lahko začel izkoriščati kodo v navideznem računalniku (Virtual Machine) in napadel gostitelja od tam – strežnik gostitelja oblaka.

Druga možnost je napad VM druge stranke, ki teče na istem strežniku. Zlasti so zelo iskani cilji gesla in tajni ključi za varen prenos podatkov. Intelov SGX, ki naj bi sicer varoval občutljive podatke v oblaku, žal ne nudi zaščite pred Spectre.

Intelova prva izjava po razkritju:

“Zaščita podatkov naših strank in njihova varnost sta naši krljučni prioriteti. Delamo v stiku s strankami, partnerji in preostalimi izdelovalci čipovij ter raziskovalci, da bi napake odkrili, jih razumeli in odpravili, del tega procesa sestavlja tudi rezervacija blokov CVE številk. Trdno verjamemo v vrednost usklajenih razkritij in izmenjavo podrobnosti o ključnih vprašanjih. Najboljša in hkrati edina preventiva je še vedno redno posodabljanje sistemov.”

Ali je tudi vaš procesor ogrožen, lahko preverite TUKAJ.

Vaša reakcija na članek?

Davorin
Zagretež, ki že 5 let nestrpno pričakuje naznanitev novega Zaklinjača in se vsako jutro z večjo slo želi podati v futuristične okoliše Cyberpunka. Sicer ljubiteljski kolesar in navdušen tehnoljub, ki začuda prezira zgolj "pametne" mobilnike. Kontakt: [email protected]

Sveže objave

Popularni Dr Disrespect se je po mesecu odsotnosti vrnil na sceno – nocoj nas čaka njegov prvi stream na YouTubu

Junija se je zgodil na Twitch sceni velik in skrivnosten dogodek, saj je praktično čez noč neznanokam poniknil eden najbolj popularni streamerjev,...

Borderlands 3 bo naslednjih nekaj dni brezplačen za igranje

Če iščete nekaj brezmožganske akcije, v kateri je vaša glavna naloga streljanje in pobijate cele horde napadalcev, zraven pa si na rame...

Diablo Immortal dobil nov igralni napovednik

Ko je razvijalec Blizzard leta 2018 na svojem sejmu BlizzCon najavil igro Diablo Immortal, so ljudje naravnost ponoreli, ampak ne od veselja....

PUSTI ODGOVOR

Prosimo, vnesite vaš komentar!
Prosimo, vnesite vaše ime

Sveže novice na email!