Senesnėse AMD ir Intel apdorojimo lustuose buvo aptiktos dar dvi saugumo trūkumai, susiję su Spectre Variant 2 pažeidžiamumu. Kol kas nežinoma, ar šiomis silpnybėmis pasinaudos užpuolikai.
Senesni apdorojimo lustai yra potencialus tikslas
Du pažeidžiamumai, pavadinti CVE-2022-29900 (AMD lustams) ir CVE-2022-29901 (Intel lustams), kelia susirūpinimą dėl 6–8 kartos „Intel Core“ procesorių ir AMD Zen 1, Zen 1+ ir Zen 2 procesoriai.
Šie modeliai yra pažeidžiami spekuliacinio vykdymo atakų, kurios gali apgauti tam tikrą procesorių, kad jis įvykdytų klaidingą komandą, pasiekiančią privačius duomenis lusto branduolio atmintyje.
Tai taip pat gali būti vadinama šoninio kanalo ataka, nes informacijai perduoti naudojamas šalutinis kanalas.
Kaip parašyta apie COMSEC svetainėETH Ciuricho tyrinėtojai Kavehas Razavi ir Johannesas Wikneris šias dvi naujas spragas pavadino RetBleed. „RetBleed“ yra atsakinga už pavogtų duomenų išgavimą po to, kai buvo išnaudotas tam tikras pažeidžiamumas, kad užpuolikai galėtų juos panaudoti savo naudai.
Į 21 „Intel“ vaizdo įrašų serijos „Chips & Salsa“ serija, bendrovė pareiškė, kad „Windows“, „Linux“ ir „MacOS“ įrenginiai yra pažeidžiami dėl šių dviejų trūkumų.
Dar nežinoma, ar šios spragos bus išnaudotos
Nors yra galimybė išnaudoti CVE-2022-29900 ir CVE-2022-29901 pažeidžiamumus, bet kokie to atvejai dar nepaskelbti. Straipsnio rašymo metu jis neaptiko jokių išnaudojimų gamtoje Intel arba AMD, tačiau tai nebūtinai reiškia, kad ateityje atakų negalima.
Nors pataisos bandomos siekiant sumažinti šias dvi naujas pažeidžiamumas, veikimui reikalingi ištekliai greičiausiai sukels didelių išlaidų, o tai kelia susirūpinimą ir AMD, ir Intel.
Tikėtis naujų šių pažeidžiamumų pataisų
Spectre pirmą kartą buvo paskelbta 2018 m., ir kiekviena nauja pažeidžiamumo iteracija buvo sėkmingai įveikta. Speciali gynybos sistema, žinoma kaip Reptoline, buvo dislokuota 2018 m sušvelninti Spectre atakas, tačiau nauji pažeidžiamumai sugebėjo apeiti šią apsaugos priemonę. Padidinus šių AMD ir „Intel“ lustų saugos priemones, gali pablogėti našumo kokybė.
Tačiau šie pleistrai greičiausiai reikalingi, kad būtų išvengta šių „Spectre“ spragų išnaudojimo laukinėje gamtoje. Šiuo metu atliekami švelninimo veiksmai, siekiant išspręsti šią problemą.
Šmėkla yra nuolatinis susirūpinimas
Kol kas nežinoma, ar ateityje atsiras naujų „Spectre“ variantų. Praeityje pasitaikydavo daugybė iteracijų, o šie du nauji pažeidžiamumai rodo, kad jų gali būti daugiau.
Nors naujos pataisos greičiausiai sukels didelių išlaidų, jos apsaugos vartotojus nuo galimų būsimų išnaudojimų dėl CVE-2022-29900 ir CVE-2022-29901 pažeidžiamumų.
