Další dvě bezpečnostní slabiny spojené se zranitelností Spectre Variant 2 byly objeveny u starších procesorových čipů AMD a Intel. Zda tyto slabiny útočníci zneužijí, zatím není známo.

Starší procesorové čipy jsou potenciálním cílem

Dvě zranitelnosti, pojmenované CVE-2022-29900 (pro čipy AMD) a CVE-2022-29901 (pro čipy Intel), se týkají procesorů Intel Core generace 6 až 8 a AMD Zen 1, Zen 1+ a Zen 2 procesory.

Tyto modely jsou zranitelné vůči spekulativním útokům, které mohou přimět daný CPU k provedení chybné instrukce, která přistupuje k soukromým datům v paměti jádra čipu.

To lze také označit jako útok postranním kanálem, protože k přenosu informací používá postranní kanál.

Jak bylo napsáno na webové stránky COMSECTyto dvě nové zranitelnosti byly výzkumníky ETH Zurich Kaveh Razavi a Johannes Wikner pojmenovány RetBleed. RetBleed je zodpovědný za extrahování ukradených dat poté, co byla daná zranitelnost zneužita, aby ji útočníci mohli využít ve svůj prospěch.

v Epizoda 21 video série Intel Chips & Salsa

instagram viewer
, společnost uvedla, že zařízení Windows, Linux a macOS jsou zranitelná vůči těmto dvěma slabým stránkám.

Zatím není známo, zda budou tyto zranitelnosti zneužity

Přestože existuje potenciál pro zneužití zranitelností CVE-2022-29900 a CVE-2022-29901, žádné případy, kdy k tomu dojde, zatím nebyly oznámeny. V době psaní tohoto článku nebyly objeveny žádné činy ve volné přírodě Intel nebo AMD, ale to nutně neznamená, že budoucí útoky jsou vyloučené.

Ačkoli se testují záplaty, aby zmírnily tyto dvě nové zranitelnosti, zdroje potřebné pro tento výkon pravděpodobně způsobí značnou režii, což je problémem pro AMD i Intel.

Očekávejte nové záplaty pro tyto chyby zabezpečení

Spectre byl poprvé oznámen v roce 2018 a každá nová iterace této chyby zabezpečení byla úspěšně překonána. Specifický obranný systém známý jako Reptoline byl nasazen v roce 2018 zmírnit útoky Spectre, ale nové zranitelnosti dokázaly toto ochranné opatření obejít. Zvýšení bezpečnostních opatření na těchto čipech AMD a Intel může také způsobit pokles kvality výkonu.

Tyto záplaty jsou však pravděpodobně nutné, aby zabránily zneužití těchto zranitelností Spectre ve volné přírodě. V současné době se pracuje na zmírnění tohoto problému.

Spectre je trvalým problémem

Zda se v budoucnu objeví nové variace Spectre, zatím není známo. V minulosti se objevilo několik iterací, přičemž tyto dvě nové zranitelnosti naznačují, že jich může přijít více.

Ačkoli nové záplaty pravděpodobně způsobí značnou režii, ochrání uživatele před případným budoucím zneužitím prostřednictvím zranitelností CVE-2022-29900 a CVE-2022-29901.