By | March 23, 2018

גוגל דיווחה הפגיעויות “ספקטר”, יהיה בסדר תמשיך מדביק מכשירים עם מעבדי Intel. לפיכך, החברה משחררת תיקוני אבטחה נוספים עבור Chrome OS.

האקרים יכולים לנצל את המשבר והתקפות “ספקטר” עבור עקיפת מנגנוני בידוד זיכרון ו שניגשים היעד נתונים רגישים.

המשבר יכול לתת האקרים לקרוא הזיכרון הפיזי מחשבי היעד. ולגנוב את האישורים של המשתמשים, מידע אישי, וכו ‘. ההתקפה מנצלת את ביצוע ספקולטיבי פורצים את הבידוד בין יישומי המשתמש ומערכת ההפעלה, כך כל יישום יכול לגשת כל זיכרון מערכת.

“ספקטר” מאפשר יישומי מצב משתמש לחלץ נתונים אחרים תהליכים הפועלים באותה מערכת. אפשר גם לנצל את ההתקפה לחילוץ פרטים תהליך משלו באמצעות קוד. למשל, JavaScript זדוני יכול לשמש כדי לחלץ קבצי cookie כניסה לאתרי אינטרנט אחרים מהזיכרון של הדפדפן.

“ספקטר” שוברת את הבידוד בין יישומים שונים, המאפשר דליפת נתונים מהליבה לתוכניות משתמש, כמו גם וירטואליזציה hypervisors למערכות חוות.

ההתקפות המשבר יעד בפגיעות CVE-2017-5754, בזמן הפיגועים “ספקטר” לעורר את CVE-2017-5753 (Variant 1) ואת CVE-2017-5715 (Variant 2).

החוקרים הביטחון טוענים כי רק 1 Variant ספקטר והביקור ניתן לטפל באמצעות תוכנה, בעוד 2 Variant “ספקטר” נדרש עדכון של המיקרו-קוד המעבדים המושפעת.

פתרנו בעיה המשבר ב- Chrome OS בחודש דצמבר כאשר גוגל שיחררה גירסה 63, עשרות ימים לפני המומחים ב- Google פרוייקט אפס גילוי הפגמים.

החברה פרסמה את התיקון קייזר KPTI/ כדי לטפל הפגם במודלים מבוססי Intel Chromebook 70 מספקים שונים, כולל Lenovo, Dell, Acer, HP, ASUS ו- Samsung.

לפני כמה ימים גוגל פרסמה Chrome OS 65 הכולל גם להפחתת הסיכון KPTI נגד המשבר עבור מספר מערכות מבוססות Intel שלא נדונו עם גירסה 3.14 של הקרנל.

בנוסף, החברה הצהיר כי כל גירסאות ישנות יותר Chromebooks עם מעבדי Intel צריך לקבל KPTI להפחתת הסיכון על המשבר עם שחרורו של Chrome OS 66, מתוכנן שחרור על אפריל 24, 2018.

“ערוץ יציב כבר עודכן 65.0.3325.167 (גירסת פלטפורמה: 10323.58.0/1) עבור רוב המכשירים כרום OS. התוכנה הזו מכילה מספר תיקוני באגים ועדכוני אבטחה.” הברית ההכרזה של גוגל.

“אינטל התקנים על גרעינים 3.14 אינצ קיבל להפחתת הסיכון KPTI נגד המשבר עם כרום OS 65. כל ההתקנים אינטל קיבלה Retpoline להפחתת הסיכון נגד “ספקטר” גרסה 2 עם כרום OS 65. “

שחרור Chrome OS 65 כולל גם להפחתת הסיכון Retpoline בשביל “ספקטר” 2 משתנה עבור כל ההתקנים מבוסס-אינטל.

המומחים ב- Google ציין כי להתקפה 1 Variant “ספקטר”, ופושעי אינטרנט שיכול לעצור את התכונה eBPF ב ה Linux kernel, עם זאת, Chrome OS הופכת eBPF.

כיום, הקבוצה Google פועלת כדי לכסות את כל הנושאים “ספקטרה”. Chrome OS המכשירים הפועלים במערכות מבוססות-היד לא יכולה להיות מושפעת המשבר.

Leave a Reply

Your email address will not be published. Required fields are marked *