Objevila se nová kritická chyba na procesorech, týká se vás to?

Pokud jste si mysleli, že váš smartphone nebo počítač jsou v bezpečí před kritickými zranitelnostmi, vězte, že byla právě objevena nová nebezpečná chyba, která má dopad na všechny čipy.

bezpečnostní procesor
Kredity: 123rf

Objevila se nová hrozba, známá jako GhostRace. Tuto zranitelnost, která je podobná nechvalně známým útokům Meltdown a Spectre, využívá základní rys moderních procesorů zvaný spekulativní provádění. Podívejme se, co to znamená a proč je to důležité.

Spekulativní provádění je technika používaná procesory k urychlení zpracování. Umožňuje počítači kvalifikovaně odhadovat budoucí úkoly a provádět je předem. I když to zlepšuje efektivitu, může to také vést k závodům, což je typ chyby, kdy se o stejný zdroj tlačí více procesů, vést k potenciálnímu narušení bezpečnosti.

Ghostrace je nová bestie mezi procesory

GhostRace, oficiálně identifikovaný jako CVE-2024-2193, byl objeven výzkumníky z VUSec a IBM, kteří rychle informovali dodavatele hardwaru a tým linuxového jádra. na konci roku 2023, což jim umožnilo začít s vývojem oprav.

Problémem GhostRace je jeho schopnost vytvářet spekulativní závodní podmínky (SRC). K těmto SRC dochází, když proces spekulativního provádění procesoru obchází obvyklé kontroly a rovnováhy, což může vést k úniku citlivých dat. Vědci prokázali, že dokonce Dobře načasované kritické oblasti procesoru mohou být touto chybou zranitelné.

GhostRace je obzvláště znepokojující, protože umožňuje neověřenému útočníkovi extrahovat data z CPU. To se děje prostřednictvím útoku SCUAF (Speculative Concurrent Use-After-Free), kdy útočník využívá podmínky závodu k přístupu ke spekulativním cestám při provádění procesoru, a procesor tak může přístup k určitým důvěrným údajům.

Dá se očekávat pokles výkonu?

Prozatím víme, že GhostRace ovlivňuje jakoukoli mikroarchitekturu. “ Stručně řečeno, jakýkoli software, např. operační systém, hypervizor atd., implementující synchronizační primitiva prostřednictvím podmíněných větví bez serializační instrukce na této cestě a běžící na jakékoli mikroarchitektuře (např. (např. x86, ARM, RISC-V atd.), který umožňuje spekulativní provádění podmíněných větví, je zranitelný vůči SRC “, řekli výzkumníci.

Chyba zabezpečení procesoruChyba zabezpečení procesoru
Kredity: 123RF

Vaše čipy od Intel, AMD, Qualcomm nebo od jiných výrobců jsou tedy zranitelné. Výrobci však již evidentně pracují na opravách, které však nemusí být nutně bez následků.

Pokud si vzpomínáte na Meltdown a Spectre, pravděpodobně si pamatujete, že různé nasazené záplaty snížily výkon většiny dotčených čipů natolik, že tvůrce Linuxu násilně odsoudil výrobce a jejich „prohnilé“ záplaty. Totéž by mohlo platit pro aktualizace, které budou nabízeny pro GhostRace.

Počáteční oprava navržená týmem linuxového jádra vypadala slibně, ale další testování ukázalo, že nebyla spolehlivá. Navrhované zmírnění vedlo ke snížení výkonu stroje přibližně o 5 %., což je důležité, ale ne katastrofální. Úkolem je nyní najít řešení, které zajistí systémy bez vážného poškození jejich výkonu.

AMD poznamenalo, že stávající zmírnění pro Spectre v1 by měla být účinná i proti GhostRace. To je uklidňující, protože to naznačuje, že předchozí zkušenosti tohoto odvětví se spekulativními exekučními útoky by mohly urychlit vývoj účinných protiopatření.

Pro uživatele a systémové administrátory je nezbytné zůstat informováni a používat opravy a aktualizace, jakmile budou k dispozici, ale pokud se dozvíme více, budeme vás samozřejmě informovat.

Leave a Reply

Your email address will not be published. Required fields are marked *