Gadgetshowto
Brikkesettutnyttelse - Meltdown og Spectre - har i det siste vært en ormekanne for produktingeniører og sikkerhetsforskere på grunn av deres brede omfang, noe som gjør de fleste moderne brikkesett sårbare. Selv om maskinvare- og programvaregiganter har jobbet raskt for å rulle ut patcher for kjente problemer, forsker nå forskerne nye måter som disse feilene kan brukes til å sabotere enheter, advarsel mot at disse lappene blir behandlet som den endelige løsningen.
En fersk artikkel medforfatter av forskere ved Princeton University og Nvidia, med tittelen "MeltdownPrime and SpectrePrime: Automatically-Synthesized Attacks Exploiting Invalidation-Based Coherence Protocols" har listet nye og mer komplekse varianter av de to feilene som kan brukes til å kompromittere passord og annen privat informasjon til brukerne.
Forskerne påpekte at bedriftene er “dypt innebygd“, Bemerker The Register, innenfor arkitekturen til CPU-en, og er vanskelig å fullstendig utrydde ved hjelp av programvareoppdateringer. De nylig oppdagede feilene - MeltdownPrime og SpectrePrime - engasjere to kjerner av prosessorer mot hverandre og deretter juice ut informasjon ved å utnytte hvordan kjerneminne er tilgjengelig i flerkjerners CPUer.
Truslene utnytte måten CPUer prioriterer oppgaver og bruke disse egenskapene til å hacke seg inn i personlige data om brukere. Videre kan disse "sidekanal" -utnyttelsene også målrette CPUens bufrede minne for å stjele konfidensiell informasjon. “Ved å utnytte cache-ugyldigheter, kan MeltdownPrime og SpectrePrime - to varianter av henholdsvis Meltdown og Spectre - lekke offerhukommelse på samme granularitet som Meltdown og Spectre“, Utdypet avisen
Den gode nyheten her er at oppdateringen patcher ment for å adressere Meltdown og Spectre er også tilstrekkelig for å redusere virkningen av MeltdownPrime og SpectrePrime. Men forskerne bemerket at ingeniører må vurdere virkningen av disse nylig oppdagede feilene mens de utvikler nyere mikroarkitekturer. Om det vil ha ytterligere innvirkning på ytelsen, gjenstår å se.
Intel, som var det første selskapet som ble funnet på spill på grunn av angrepene, har nylig gjort det utvidet sitt bug bounty-program til 31. desember 2018 og bumpet opp belønningene for å oppdage bedrifter relatert til Meltdown og Spectre opp til $ 250.000.
