עוד שתי חולשות אבטחה הקשורות לפגיעות Spectre Variant 2 התגלו בתוך שבבי עיבוד AMD ו-Intel ישנים יותר. עדיין לא ידוע אם החולשות הללו ינוצלו על ידי התוקפים.

שבבי עיבוד ישנים יותר הם יעד פוטנציאלי

שתי הפגיעויות, בשם CVE-2022-29900 (עבור שבבי AMD) ו-CVE-2022-29901 (עבור שבבי אינטל), מהווים דאגה עבור מעבדי Intel Core דור 6 עד 8, ו-AMD Zen 1, Zen 1+ ו-Zen 2 מעבדים.

מודלים אלו פגיעים להתקפות ביצוע ספקולטיביות, שיכולות להערים על מעבד נתון לבצע הוראה שגויה הניגשת לנתונים פרטיים בתוך זיכרון הליבה של השבב.

אפשר להתייחס לזה גם כמתקפה של ערוץ צד, מכיוון שהוא משתמש בערוץ צדדי להעברת מידע.

כפי שכתוב על אתר COMSEC, שתי נקודות התורפה החדשות הללו קיבלו את השם RetBleed על ידי חוקרי ETH ציריך, Kaveh Razavi ו-Johannes Wikner. RetBleed אחראית לחילוץ הנתונים הגנובים לאחר ניצול פגיעות נתונה כדי שהתוקפים יוכלו להשתמש בו לטובתם.

ב פרק 21 של סדרת הווידאו Chips & Salsa של אינטל, החברה הצהירה שמכשירי Windows, Linux ו-macOS פגיעים לשתי החולשות הללו.

עדיין לא ידוע אם הפגיעויות הללו ינוצלו

למרות שיש פוטנציאל לניצול פגיעות CVE-2022-29900 ו-CVE-2022-29901, עדיין לא פורסם על כל מקרים של זה. בזמן כתיבת שורות אלה, לא התגלו מעללים בטבע על ידי

instagram viewer
אינטל או AMD, אבל זה לא אומר בהכרח שהתקפות עתידיות אינן באות בחשבון.

אף על פי שתיקונים נבדקים כדי לצמצם את שתי הפגיעויות החדשות הללו, המשאבים הנדרשים להישג עשויים לגרום לתקורה כבדה, מה שמדאיג הן AMD והן אינטל.

צפו לתיקון חדש לפגיעויות אלו

Spectre הוכרז לראשונה בשנת 2018, וכל איטרציה חדשה של הפגיעות התגברה בהצלחה. מערכת הגנה ספציפית המכונה Reptoline נפרסה בשנת 2018 כדי להקל על התקפות ספקטר, אבל הפגיעויות החדשות הצליחו לעקוף את אמצעי ההגנה הזה. עלייה באמצעי האבטחה בשבבי AMD ו-Intel אלה יכולה גם לגרום לירידה באיכות הביצועים.

עם זאת, טלאים אלה נדרשים ככל הנראה כדי למנוע את ניצול פגיעות ספקטר אלה בטבע. כרגע מתבצעות פעולות מזור כדי להתמודד עם הנושא הזה.

ספקטר הוא דאגה מתמשכת

עדיין לא ידוע אם וריאציות חדשות של ספקטר יופיעו בעתיד. מספר איטרציות צצו בעבר, כאשר שתי הפגיעות החדשות הללו מצביעות על כך שייתכן וצפויות עוד.

למרות שתיקונים חדשים ככל הנראה יגרמו לתקורה משמעותית, הם יגנו על המשתמשים מפני נפילות קורבן לניצול עתידי אפשרי באמצעות פרצות CVE-2022-29900 ו-CVE-2022-29901.