Εντοπίστηκαν τέσσερις νέες ευπάθειες σε επεξεργαστές της Intel και μπορούν να χρησιμοποιηθούν μέσω side-channel attacks. Οι ευπάθειες έχουν ονομαστεί RIDL, Fallout και ZombieLoad.
Αυτά τα τρωτά σημεία επιτρέπουν στους εισβολείς να κλέβουν κωδικούς πρόσβασης, τα κλειδιά κρυπτογράφησης ή οποιονδήποτε άλλο τύπο δεδομένων που φορτώνεται ή αποθηκεύεται στη μνήμη buffer των CPU.
Οι ευπάθειες κατηγοριοποιούνται σαν Microarchitectural Data Sampling (MDS) και αναγνωρίζονται με τα παρακάτω τέσσερα CVE:
- CVE-2018-12126 – Microarchitectural Store Buffer Data Sampling (MSBDS)
- CVE-2018-12130 – Microarchitectural Fill Buffer Data Sampling (MFBDS)
- CVE-2018-12127 – Microarchitectural Load Port Data Sampling (MLPDS)
- CVE-2019-11091 – Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
Οι ερευνητές που ανακοίνωσαν τις ευπάθειες, εκτός του ότι τις βάπτισαν (sic) δημιούργησαν και δύο διαφορετικές ιστοσελίδες, από όπου μπορείτε να διαβάσετε περισσότερα:
Θα πρέπει να γνωρίζετε ότι όλες οι λύσεις επιδιόρθωσης που κυκλοφορούν αυτή τη στιγμή είναι μόνο μετριασμοί και δεν διορθώνουν πλήρως τις ευπάθειες. Για να επιλύσετε πλήρως αυτά τα τρωτά σημεία, όλοι οι προμηθευτές αναφέρουν ότι θα πρέπει να απενεργοποιήσετε το hyper-threading, κάτι που θα έχει επιπτώσεις στον υπολογιστή σας.
Επίσημα MDS Advisories, Patches, ή Updates:
- Lenovo BIOS updates
Microsoft
- ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities
- Windows guidance to protect against speculative execution side-channel vulnerabilities
Δυστυχώς δεν υπάρχουν διαθέσιμα microcode updates για τις παρακάτω εκδόσεις των Windows (και για το Windows 10 version 1809, που θα κυκλοφορήσει αργότερα):
- Windows 10 Version 1803 for x64-based Systems
- Windows Server, version 1803 (Server Core Installation)
- Windows 10 Version 1809 for x64-based Systems
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
________________
_________________________
- Patch Tuesday Μαΐου KB4494441, KB4499167, KB4499179 & KB4499181
- Kaspersky antivirus; Προσοχή, ενημερώστε άμεσα
- Zuckerberg: η διάσπαση του Facebook δεν θα βοηθήσει
- Android με ψηφιακή ταυτότητα ετοιμάζει η Google