به نقل از «مهر»

آسیب‌پذیری‌ پردازنده‌های مهم کامپیوتری/ نفوذ به مرورگر کاربران

تاریخ انتشار: ۱۹ دی ۱۳۹۶ | کد خبر: ۱۶۵۰۶۷۴۹

مرکز ماهر نسبت به کشف آسیب‌پذیری‌ مهمی که همه‌ پردازنده‌های سخت افزاری را تحت تاثیر قرار داده هشدار داد.

به گزارش خبرنگار مهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای جزئیات فنی آسیب‌پذیری‌هایی که به‌تازگی روی تراشه‌های اینتل پدیدار شده‌اند منتشر کرد. بررسی ها نشان می‌دهد که این آسیب‌پذیری‌ها همه‌ پردازنده‌های مهم از جمله AMD، ARM و Intel را تحت تاثیر قرار می‌دهند.

بیشتر بخوانید: اخباری که در وبسایت منتشر نمی‌شوند!

این آسیب‌پذیری‌های سخت‌افزاری به دو حمله به نام‌های Meltdown (CVE-۲۰۱۷-۵۷۵۴)  و Spectre (CVE-۲۰۱۷-۵۷۵۳ , CVE-۲۰۱۷-۵۷۱۵)  دسته‌بندی شده‌اند که می‌توانند به مهاجمان امکان سرقت داده‌های حساس را که در حال حاضر روی کامپیوتر پردازش شده‌اند، بدهند.

گزارش‌های کاملی که اخیرا راجع به آسیب‌پذیری‌های تراشه‌های اینتل منتشر شده است نشان می‌دهد که همه‌ پردازنده‌های مدرن از سال ۱۹۹۵ تحت تاثیر این آسیب‌پذیری‌ها قرار دارند. این آسیب‌پذیری‌ها به صورت بالقوه همه‌ CPUهای مهم، شامل AMD، ARM و Intel را تحت تاثیر قرار می‌دهد و بنابراین همه‌ رایانه‌های شخصی، لپ‌تاپ‌ها، تبلت‌ها و تلفن‌های هوشمند را صرف نظر از سازنده یا سیستم‌عامل تهدید می‌کند.

هردوی این حملات از یک ویژگی در تراشه‌ها به نام «speculative execution» استفاده می‌کنند که تکنیکی است که توسط بیشتر CPUهای مدرن برای بهینه‌سازی عملکرد استفاده می‌شود.

اولین مشکل یعنی Meltdown، به مهاجم این امکان را می‌دهد که نه تنها حافظه‌ کرنل (حافظه هسته اصلی کامپیوتر) بلکه کل حافظه‌ فیزیکی ماشین هدف را بخواند. Meltdown از اجرای احتمالی (speculative execution) برای شکستن ایزوله‌سازی بین برنامه‌های کاربر و سیستم‌عامل استفاده می‌کند و به هر برنامه امکان دسترسی به همه‌ حافظه‌ سیستم از جمله حافظه‌ اختصاصی به کرنل را می‌دهد. تقریباً همه‌ لپ‌تاپ‌ها، رایانه‌ها و کامپیوترهای ابری تحت تاثیر Meltdown قرار دارند.

حمله‌ Spectre نیز می‌تواند برای افشای اطلاعات از کرنل به برنامه‌های کاربر و همچنین از hypervisor های مجازی‌سازی به سیستم‌های مهمان استفاده شود.

وصله کردن دومین مشکل یعنی Spectre آسان نیست و احتمالا افراد زیادی را برای مدت زمان طولانی تحت تاثیر قرار می‌دهد چراکه این آسیب‌پذیری‌ها برای اینکه به طور کامل رفع شوند به تغییراتی در معماری پردازنده نیاز دارند.

بسیاری از شرکت‌ها برای یکی یا هر دوی این آسیب‌پذیری‌ها وصله‌های امنیتی‌ را تهیه کرده‌اند:

• سیستم عامل ویندوز: مایکروسافت یک به‌روزرسانی خارج از نوبت برای ویندوز ۱۰ منتشر کرده است، درهمین حال برای دیگر نسخه‌های ویندوز نیز امروز سه‌شنبه  ۹ ژانویه وصله منتشر خواهد شد.

• سیستم‌عامل مک: اپل قبلاً بسیاری از این حفره‌های امنیتی را در High Sierra ۱۰.۱۳.۲ در ماه گذشته وصله کرد، اما همه‌ این نقص‌ها در MacOS ۱۰.۱۳.۳ کاملاً رفع خواهند شد.

• سیستم‌عامل لینوکس: توسعه‌دهندگان کرنل لینوکس نیز وصله‌هایی را با پیاده‌سازی KPTI (Kernel page-table isolation) برای انتقال کرنل به یک فضای آدرس کاملاً جداگانه منتشر کرده‌اند.

• سیستم‌عامل اندروید: گوگل وصله‌های امنیتی را برای کاربران Pixel/Nexus به‌عنوان قسمتی از به‌روزرسانی امنیتی ژانویه‌ اندروید منتشر کرد. دیگر کاربران نیز باید منتظر یک به‌روزرسانی امنیتی سازگار توسط تولیدکنندگان دستگاه خود باشند.

از آن‌جایی که این آسیب پذیری می‌تواند از طریق وب‌سایت مخرب روی مرورگر قربانی مورد سوءاستفاده قرار گیرد، کاربران مرورگر کروم می‌توانند ویژگی ایزوله‌سازی سایت (Site Isolation) را روی دستگاه‌هایشان برای رفع این آسیب‌پذیری فعال‌سازی کنند.

مرکز ماهر برای فعال‌سازی این ویژگی روی ویندوز، مک، لینوکس، سیستم‌عامل کروم یا اندروید، روشهای زیر را پیشنهاد کرد:

•    chrome://flags/#enable-site-per-process را در فیلد URL کپی کنید و اینتر را بزنید.

•   به‌دنبال Strict Site Isolation بگردید، سپس روی باکس با برچسب Enable کلیک کنید.

•   پس از انجام این کار، برای راه‌اندازی مجدد مرورگر کروم Relaunch Now را فشار دهید.

مرکز ماهر تاکید کرده است که هیچ راه حل واحدی برای رفع هردوی حملات وجود ندارد چراکه هرکدام نیاز به یک روش محافظتی جداگانه دارند.

منبع: مهر

درخواست حذف خبر:

«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را به‌طور اتوماتیک از وبسایت www.mehrnews.com دریافت کرده‌است، لذا منبع این خبر، وبسایت «مهر» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۱۶۵۰۶۷۴۹ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتی‌که در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.

با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.

خبر بعدی:

هشدار اپل به آیفون‌داران: مراقب آتش‌ گرفتن گوشی خود باشید!

ایتنا - شرکت اپل به کاربران آیفون هشدار داده که باید هنگام شارژ گوشی‌های هوشمند خود نکات ایمنی را رعایت کنند در غیر این صورت ممکن است آتش‌سوزی، برق گرفتگی یا آسیب جدی رخ دهد.
بر اساس جزییات منتشر شده در وبسایت پشتیبانی اپل، این شرکت فناوری از کاربران خواسته است که آیفون، آداپتور یا کابل شارژر را هرگز زیر پتو، بالش یا بدن خود قرار ندهند زیرا این کار می‌تواند باعث گرم شدن بیش از حد دستگاه و بروز حادثه شود.

اپل تاکید کرده آیفون، آداپتور و شارژر بی‌سیم خود را هنگام استفاده یا شارژ کردن در مکانی با تهویه مناسب نگه دارید. اگر آیفون شما در حال شارژ است، نباید برای مدت طولانی با بدن شما تماس داشته باشد.

این هشدار به ویژه زمانی اهمیت می‌یابد که کاربران قصد خوابیدن یا قرار گرفتن در شرایطی را دارند که نمی‌توانند افزایش دمای گوشی را متوجه شوند.

براساس توصیه‌های ایمنی اپل، کاربران باید همواره از آداپتورها و کابل‌های اصلی این شرکت برای شارژ آیفون استفاده کنند. محصولات شرکت‌های ثالث و ارزان‌قیمت ممکن است استاندارد لازم را نداشته و خطرآفرین باشند.

اپل همچنین هشدار داده است که کابل‌ها یا شارژرهای آسیب دیده یا مرطوب می‌توانند باعث آتش سوزی، برق گرفتگی، جراحت یا آسیب به گوشی یا دیگر اموال شوند.

این اقدام اپل در پی گزارش‌های متعددی درباره گرم شدن بیش از حد آیفون‌ها حین شارژ صورت گرفته است. چنین وضعیتی می‌تواند عواقب جبران ناپذیری به همراه داشته باشد.

با افزایش نگرانی‌ها درباره ایمنی محصولات فناوری، شرکت‌های بزرگ ناگزیرند دستورالعمل‌های لازم را برای استفاده ایمن از دستگاه‌های هوشمند منتشر کنند.