هشدار اینتل به کاربران: پچ ‏های Meltdown و Spectre را نصب نکنید!

اخیراً خبری مبنی بر کشف آسیب‌پذیری بر روی تراشه‌های اینتل منتشر گردید.

محتوای خبر این بود: "این آسیب‌پذیری همه‌ی پردازنده‌های مهم از جمله AMD، ARM و Intel را تحت تأثیر قرار می‌دهد. این آسیب‌پذیری‌های سخت‌افزاری به دو حمله به نام‌های (Meltdown (CVE-2017-5754 و (Spectre (CVE-2017-5753 , CVE-2017-5715 دسته‌بندی شده‌اند که می‌توانند به مهاجمان امکان دزدیدن داده‌های حساسی که در حال حاضر بر روی کامپیوتر پردازش شده‌اند را بدهند."

پیرو خبر منتشر شده پچ‌هایی برای این آسیب‌پذیری‌ها ارائه گردید تا کاربران نصب نمایند. اما اکنون با خبر جدیدی روبرو شدیم: پچهای اینتل را برای آسیب‌پذیری‏‌های Meltdown و  Spectre  نصب نکنید!

روز دوشنبه اینتل طی هشداری اعلام کرد که نسخه‌های فعلی از پچ‌های Meltdown و  Spectre  را نصب نکنید.

Meltdown و  Spectre  آسیب‌پذیری‌های امنیتی هستند که اخیراً توسط محققین در بسیاری از پردازنده‌های شرکت‌های AMD،  ARM و Intel که در PC‌های مدرن، سرورها، تلفن‌های هوشمند ( و دستگاه‌های دیگر) مورد استفاده قرار گرفته‌اند کشف شده‌اند. این آسیب‌پذیری‌ها به هکر اجازه می‌دهند پسوردها، کلیدهای رمزنگاری و سایر اطلاعات شخصی شما را سرقت کنند.

از هفته پیش کاربران گزارش می‌دهند که پس از نصب پچ‌های منتشر شده توسط اینتل برای Meltdown و  ،Spectre بر روی کامپیوترهایی که تحت تاثیر آسیب پذیری بوده‌اند، با مسائلی مثل ریستارت خودبخود سیستم و سایر رفتارهای غیرعادی سیستم  روبرو شده‌اند.

با ادامه این مشکلات اینتل توصیه می‌کند که OEMها، ارائه‌دهندگان خدمات Cloud، تولیدکنندگان سیستم، فروشندگان نرم‌افزار و نیز کاربران نهایی، نصب نسخه‌های فعلی از این پچ‌ها در سیستم خود را متوقف کنند تا زمانی‌ که توسعه‌دهندگان راه‌حلی برای رفع این مشکل ارائه دهند.

اینتل در press release که روز دوشنبه منتشر شد می گوید: "ما اکنون عامل اصلی در Platformeهای Haswell و  Broadwell را شناسایی کرده‌ایم و پیشرفت‌های خوبی برای ارائه راه‌حل آن داشته‌ایم."

از اواخر هفته گذشته، یک نسخه آزمایشی اولیه از راه‌حل بروز شده را برای شرکای تجاری راه‌اندازی نموده‌ایم و پس از اتمام آزمایش نسخه نهایی را منتشر خواهیم کرد."

لینوس توروالدز  پچ‌های Meltdown و  Spectre را زباله می نامد!

در این میان، لینوس توروالدز (Torvalds Linus) طی یک مکالمه ایمیلی، از رویکرد اینتل در محافظت از هسته لینوکس در برابر نقص Meltdown و  Spectre ابراز نا خرسندی می‌کند . او می‌گوید :

" آنها واقعا کارهای غیر عقلانی انجام می‌دهند .کارهایی می‌کنند که منطقی نیست. من واقعآ نمی‌خواهم این پچ‌های زباله را ببینم که کاملا بی فایده ارائه شده‌اند."

توروالدز می‌گوید : "من فکر می‌کنم ما به چیزی بهتر از این زباله نیاز داریم."

پچ‌های اینتل به کاربران اجازه می‌دهند که بصورت دستی، در زمان راه‌اندازی سیستم‌، تنظیمات آن را فعال و ثبت کنند. در حالی‌ که پچ‌های امنیتی برای چنین نقص بحرانی باید بصورت خودکار اعمال شود!

این همان دلیلی است که IBRS (SpeculationRestricted  Indirect Branch) _یکی از سه پچ سخت‌افزاری جدید که توسط اینتل پیشنهاد شده_ برای بروز رسانی میکروکدهای CPU بسیار نا کارآمد است به طوری که اگر سراسر جهان را در نوردد نتایج گسترده ای از دیدن کارایی آن بعمل خواهد آمد.

بنابراین به منظور جلوگیری از عملکرد بد در آزمون معیار، اینتل به کاربران پیشنهاد می‌کند که بین عملکرد و امنیت انتخاب کنند.

پچ‌های جدید اینتل به زودی در دسترس خواهند بود. منتظر بمانید.

منبع: https://thehackernews.com/2018/01/intel-meltdown-spectre-patch.html