פרצת foreshadow

פרצת foreshadow

הכירו את L1TF: שלוש פרצות חדשות במעבדי אינטל

שנת 2018 תיזכר כשנת פרצות האבטחה כשאנו מקבלים היום מידע על שלוש פרצות חדשות במעבדי אינטל המשתמשות בנקודת תורפה בזיכרון הקאש L1 במעבד. הפרצות החדשות קיבלו את השם L1TF (ר"ת L1 Terminal Fault) על ידי אינטל ואת השם Foreshadow ו-Foreshadow-NG על ידי החוקרים שאיתרו את הפרצות.

נושא פרצות האבטחה במעבדים פרץ בתחילת 2018 עם הופעת פרצות Spectre ו-Meltdown, אך לא נגמר בהן, כאשר בהמשך השנה הופיעו פרצות נוספות, בהן LazyFPTLBleedSpectre NGSSB ועוד. רובן פגעו במעבדי אינטל, אך לא רק, וחלקן השפיעו על כלל המעבדים והיצרנים בשוק לאור צורת העבודה של המעבדים המודרניים.

פרצות L1TF, או Foreshadow, החדשות משתמשות באופן עקרוני באותה פרצה מהותית במעבדים עליה שמענו בעבר, זו עושה שימוש במנגנון ה-speculative execution המבצע חיזוי למידע אותו המשתמש ידרוש ובדרך מאפשר לפורץ לגשת למידע חסוי. במקרה הנוכחי מדובר על מידע השמור בזיכרון הקאש L1 במעבד ומאפשר קריאה של המידע בחלון זמן קצר אך משמעותי.

שלוש הפרצות שאוגדו תחת השם L1TF ו-Foreshadow הן:

  • Foreshadow – מזהה CVE-2018-3615 – פרצה המשפיעה על מנגנון ה-SGX (ר"ת Software Guard Extensions) ומאפשרת גישה לא מורשית לזיכרון הקאש L1 ולמידע שבו.
  • Foreshadow-NG – מזהה CVE-2018-3620 – פרצה התוקפת את את מנגנון ה-SMM (ר"ת System Management Mode) וליבת (Kernel) מערכת ההפעלה על מנת לגשת למידע חסוי.
  • Foreshadow-NG – מזהה CVE-2018-3646 – פרצה התוקפת מערכות וירטואליות (virtual machines) בשרתים ומאפשרת גישה לא מורשה בין המכונות הוירטואליות בשרת.

הסבר וידאו על הפרצות החדשות:

דמו של פרצת Foreshadow:

לפי אינטל, בעוד ששתי הגרסאות הראשונות לפרצת ה-L1TF ניתנות לתיקון באמצעות עדכון מיקרו קוד אותו החברה כבר פיתחה באמצעות החוקרים שזיהו את הפרצות, הסוג השלישי, המשפיע על מערכות וירטואליות, בעייתי יותר לתיקון אך אפשרי באמצעות עדכונים למערכות. תיקון זה עשוי להשפיע על ביצועי השרתים.

שנת 2018 עדיין לא נגמרה, מה שאומר שיש עדיין מספיק זמן לחוקרי אבטחה למצוא פרצות נוספות מלבד אלו שנמצאו עד היום. הדבר החשוב בפרצות הללו הוא התיקונים אותם פרסמו יצרני המעבדים, אותם חשוב להתקין על מנת לאבטח את מערכת ההפעלה.

במאגר הקופונים שלנו כבר ביקרתם?
סמארטפונים וגאדג'טים במחירים נוחים ובמשלוח ישיר עד הבית
לחצו כאן
תגובות לכתבה
גאדג'טי | Gadgety
ניווט באתר
קטגוריות
גאדג'טי
חיפוש כתבות