חברת מיקרוסופט (Microsoft) ופרויקט אפס (Project-Zero) של גוגל חשפו את קיומו של סוג רביעי לפרצה דמויית פרצת Spectre מתחילת 2018 שקיבלת את השם Speculative Store Bypass או SSB. בדומה לפרצות האחרות, מדובר על פרצה המנצלת את אופן פעולת המעבד על מנת לגשת למידע חסוי שאמור להיות מוגן.
תחום אבטחת המידע בעולם המחשבים התחיל את שנת 2018 בצורה סוערת עם חשיפת 3 פרצות שפגעו בכלל המעבדים של היצרנים השונים ברמות שונות. שלוש הפרצות אוגדו לשמות Spectre ו-Meltdown כשעכשיו נוספה להן פרצת SSB או “סוג 4” יחד עם פרצת “סוג 3a” הנגזרת מ-Meltdown.
נכון להיום קיימות 5 גרסאות לפרצות חומרה במעבדים:
- Specter – סוג 1 – פרצת Bounds Check Bypass קוד פרצה CVE-2017-5753.
- Specter – סוג 2 – פרצת Branch Target Injection קוד פרצה CVE-2017-5715.
- Meltdown – סוג 3 – פרצת Rogue Data Cache Load קוד פרצה CVE-2017-5754.
- סוג 3a – פרצת Rogue System Register Read קוד פרצה CVE-2018-3640.
- סוג 4 – פרצת Speculative Store Bypass קוד פרצה CVE-2018-3639.
הפרצה החדשה עובדת על ידי ניצול מנגון החיזוי (speculative execution) של המעבדים המודרניים, כשהמעבד במחשב צופה לאיזה מידע המשתמש יזדקק מראש ומגיש בקשה לקבל את מידע זה. במידה שהחיזוי היה שגוי, המידע נזרק ל”פח” ופה בעצם טמונה הבעיה – בניגוד לאבטחה הקיימת על המידע במעבד עצמו, ה”פח” שאליו נזרק המידע איננו מוגן.
ניצול פרצת ה-SSB מאפשרת להריץ קוד מהפח הלא מוגן שיש לו גישה למעבד ולגרום לו לגשת למידע מוגן תוך כדי שהמעבד חושב שהוא ניגש למידע אחר. בקטע הוידאו הבא ניתן למצוא הסבר ויזואלי שממחיש את צורת העבודה של פרצת ה-SSB:
כלל חברות המעבדים ומערכות ההפעלה עובדות כעת יחד על מנת להוציא תיקון לפרצה החדשה כאשר אינטל כבר מחזיקה תיקון בטא לא סופי. מבדיקות של החברה, השימוש בתיקון פוגע בביצועי המעבד ברמה של 2% עד 8%.
שנת 2018 תיזכר על ידי רבים כשנת פרצות האבטחה כשאנו מקבלים מידע על פרצות בתדירות גבוהה מאוד. בעוד עכשיו, עם ה-SSB, אנו מדברים על פרצה “סוג 4”, ייתכן כי “סוג 5” ומעלה נמצאים מעבר לפינה ומחכים לחשיפה שלהם.
עוקבים? כל החדשות מגאדג'טי
חלק מהפוסטים באתר כוללים קישורי תכניות שותפים, עבורם נקבל עמלה עם ביצוע רכישה בפועל של מוצרים. עמלה זו לא מייקרת את העלות הסופית של המוצרים עבורכם.
הסקירות והתכנים המופיעים באתר מהווים המלצה בלבד, וכך יש להתייחס אליהם. כל המחירים המופיעים באתר נכונים ליום הפרסום בלבד והאחריות לקניית מוצר או שירות כזה או אחר מוטלת עליך בלבד – השימוש באתר בהתאם לתנאי השימוש והפרטיות.