هشدار اینتل به کاربران: پچ های Meltdown و Spectre را نصب نکنید!
اخیراً خبری مبنی بر کشف آسیبپذیری بر روی تراشههای اینتل منتشر گردید.
محتوای خبر این بود: "این آسیبپذیری همهی پردازندههای مهم از جمله AMD، ARM و Intel را تحت تأثیر قرار میدهد. این آسیبپذیریهای سختافزاری به دو حمله به نامهای (Meltdown (CVE-2017-5754 و (Spectre (CVE-2017-5753 , CVE-2017-5715 دستهبندی شدهاند که میتوانند به مهاجمان امکان دزدیدن دادههای حساسی که در حال حاضر بر روی کامپیوتر پردازش شدهاند را بدهند."
پیرو خبر منتشر شده پچهایی برای این آسیبپذیریها ارائه گردید تا کاربران نصب نمایند. اما اکنون با خبر جدیدی روبرو شدیم: پچهای اینتل را برای آسیبپذیریهای Meltdown و Spectre نصب نکنید!
روز دوشنبه اینتل طی هشداری اعلام کرد که نسخههای فعلی از پچهای Meltdown و Spectre را نصب نکنید.
Meltdown و Spectre آسیبپذیریهای امنیتی هستند که اخیراً توسط محققین در بسیاری از پردازندههای شرکتهای AMD، ARM و Intel که در PCهای مدرن، سرورها، تلفنهای هوشمند ( و دستگاههای دیگر) مورد استفاده قرار گرفتهاند کشف شدهاند. این آسیبپذیریها به هکر اجازه میدهند پسوردها، کلیدهای رمزنگاری و سایر اطلاعات شخصی شما را سرقت کنند.
از هفته پیش کاربران گزارش میدهند که پس از نصب پچهای منتشر شده توسط اینتل برای Meltdown و ،Spectre بر روی کامپیوترهایی که تحت تاثیر آسیب پذیری بودهاند، با مسائلی مثل ریستارت خودبخود سیستم و سایر رفتارهای غیرعادی سیستم روبرو شدهاند.
با ادامه این مشکلات اینتل توصیه میکند که OEMها، ارائهدهندگان خدمات Cloud، تولیدکنندگان سیستم، فروشندگان نرمافزار و نیز کاربران نهایی، نصب نسخههای فعلی از این پچها در سیستم خود را متوقف کنند تا زمانی که توسعهدهندگان راهحلی برای رفع این مشکل ارائه دهند.
اینتل در press release که روز دوشنبه منتشر شد می گوید: "ما اکنون عامل اصلی در Platformeهای Haswell و Broadwell را شناسایی کردهایم و پیشرفتهای خوبی برای ارائه راهحل آن داشتهایم."
از اواخر هفته گذشته، یک نسخه آزمایشی اولیه از راهحل بروز شده را برای شرکای تجاری راهاندازی نمودهایم و پس از اتمام آزمایش نسخه نهایی را منتشر خواهیم کرد."
لینوس توروالدز پچهای Meltdown و Spectre را زباله می نامد!
در این میان، لینوس توروالدز (Torvalds Linus) طی یک مکالمه ایمیلی، از رویکرد اینتل در محافظت از هسته لینوکس در برابر نقص Meltdown و Spectre ابراز نا خرسندی میکند . او میگوید :
" آنها واقعا کارهای غیر عقلانی انجام میدهند .کارهایی میکنند که منطقی نیست. من واقعآ نمیخواهم این پچهای زباله را ببینم که کاملا بی فایده ارائه شدهاند."
توروالدز میگوید : "من فکر میکنم ما به چیزی بهتر از این زباله نیاز داریم."
پچهای اینتل به کاربران اجازه میدهند که بصورت دستی، در زمان راهاندازی سیستم، تنظیمات آن را فعال و ثبت کنند. در حالی که پچهای امنیتی برای چنین نقص بحرانی باید بصورت خودکار اعمال شود!
این همان دلیلی است که IBRS (SpeculationRestricted Indirect Branch) _یکی از سه پچ سختافزاری جدید که توسط اینتل پیشنهاد شده_ برای بروز رسانی میکروکدهای CPU بسیار نا کارآمد است به طوری که اگر سراسر جهان را در نوردد نتایج گسترده ای از دیدن کارایی آن بعمل خواهد آمد.
بنابراین به منظور جلوگیری از عملکرد بد در آزمون معیار، اینتل به کاربران پیشنهاد میکند که بین عملکرد و امنیت انتخاب کنند.
پچهای جدید اینتل به زودی در دسترس خواهند بود. منتظر بمانید.
منبع: https://thehackernews.com/2018/01/intel-meltdown-spectre-patch.html