Vanemates AMD ja Inteli töötlemiskiipides on avastatud veel kaks turvanõrkust, mis on seotud haavatavusega Spectre Variant 2. Kas ründajad neid nõrkusi ära kasutavad, pole veel teada.
Vanemad töötlemiskiibid on potentsiaalne sihtmärk
Kaks haavatavust, nimega CVE-2022-29900 (AMD kiipide jaoks) ja CVE-2022-29901 (Intelli kiipide jaoks), on muret Intel Core'i põlvkonna 6–8 protsessorite ning AMD Zen 1, Zen 1+ ja Zen 2 pärast protsessorid.
Need mudelid on haavatavad spekulatiivsete rünnakute suhtes, mis võivad teatud CPU-d meelitada täitma vigast käsku, mis pääseb juurde kiibi tuumamälus olevatele privaatandmetele.
Seda võib nimetada ka külgkanali rünnakuks, kuna see kasutab teabe edastamiseks külgkanalit.
Nagu on kirjutatud COMSECi veebisait, ETH Zürichi teadlased Kaveh Razavi ja Johannes Wikner on need kaks uut turvaauku nimetanud RetBleediks. RetBleed vastutab varastatud andmete ekstraheerimise eest pärast antud haavatavuse ärakasutamist, et ründajad saaksid seda enda huvides kasutada.
sisse
Inteli kiibid ja salsa videosarja 21. jagu, teatas ettevõte, et Windowsi, Linuxi ja macOS-i seadmed on nende kahe nõrkuse suhtes haavatavad.Pole veel teada, kas neid turvaauke ära kasutatakse
Kuigi turvaaukude CVE-2022-29900 ja CVE-2022-29901 ärakasutamise potentsiaal on olemas, ei ole selle juhtudest veel teatatud. Selle artikli kirjutamise ajal ei ole ta avastanud ühtegi looduses esinevat ärakasutamist Intel või AMD, kuid see ei tähenda tingimata, et tulevased rünnakud ei tuleks kõne allagi.
Ehkki plaastreid testitakse nende kahe uue haavatavuse leevendamiseks, põhjustavad vägitüki jaoks vajalikud ressursid tõenäoliselt kopsakaid üldkulusid, mis on muret nii AMD-le kui ka Intelile.
Nende haavatavuste jaoks on oodata uusi plaastreid
Spectre kuulutati esmakordselt välja 2018. aastal ja iga uus haavatavuse iteratsioon on edukalt ületatud. Spetsiaalne kaitsesüsteem, mida tuntakse kui Reptoline, võeti kasutusele 2018. aastal leevendada Spectre rünnakuid, kuid uued haavatavused on suutnud sellest kaitsemeetmest mööda minna. Nende AMD ja Inteli kiipide turvameetmete suurendamine võib samuti põhjustada jõudluse kvaliteedi langust.
Neid plaastreid on aga tõenäoliselt vaja selleks, et vältida nende Spectre haavatavuste ärakasutamist looduses. Selle probleemi lahendamiseks tehakse praegu leevendusi.
Spectre on pidev mure
Kas Spectre uusi variatsioone tulevikus ilmub, pole veel teada. Varem on ilmnenud mitu iteratsiooni, kusjuures need kaks uut haavatavust viitavad sellele, et neid võib veel tulla.
Kuigi uued plaastrid põhjustavad tõenäoliselt märkimisväärseid lisakulusid, kaitsevad need kasutajaid CVE-2022-29900 ja CVE-2022-29901 haavatavuste kaudu võimalike tulevaste ärakasutuste ohvriks langemise eest.
