آسیب پذیری امنیتی Meltdown و Spectre برای تمامی پردازنده های intel, AMD, ARM

چهارشنبه 1396/10/21
در هفته گذشته یک آسیب پذیری امنیتی بسیار مهم که تقریبا تمامی پردازنده های تولید شده در طول 20 سال گذشته را در بر میگیرد منتشر گردید.
این آسیب پذیری ها به مهاجمان اجازه می دهد با سوء استفاده از عملیات پردازش موازی، به حافظه محرمانه پردازنده دست پیدا کند و هرگونه اطلاعات موجود روی سیستم را به سرقت ببرد.

دو حفره امنیتی با نام های Meltdown و Spectre در تمامی این چیپ ها وجود دارد که تقریباً تمام دستگاه های تولید شده در طول 20 سال اخیر را در بر می گیرند.

تا این لحظه هیچگونه گزارشی در رابطه با نفوذ یا سرقت اطلاعات از طریق این روش ثبت نشده است، با این حال این امکان از نظر فنی وجود دارد که بخشی از اطلاعات به وسیله این آسیب پذیری سرقت شود. به همین دلیل لازم است تا سریعا نسبت به انجام بروزرسانی های لازم اقدام نمایید.

چگونه از این آسیب پذیری در امان بمانیم؟
چنانچه از سرویس های میزبانی وب یا هاستینگ اسپیس ایران استفاده می کنید در حال حاضر تمامی سرور ها با بروزرسانی به آخرین نسخه سیستم عامل و استفاده از وصله های امنیتی امن شده اند و جای نگرانی وجود ندارد.

سیستم عامل های ویندوز و MacOS:
مایکروسافت و اپل در هفته گذشته بسته های امنیتی ویژه ای برای برای رفع این آسیب پذیری ها ارائه  نموده اند، برای ایمن نمودن سیستم عامل های خود در برابر این آسیب پذیری می توانید نسبت به بروزرسانی و نصب بسته های امنیتی اقدام نمایید.

سیستم عامل های CentOS , RedHat , Ubuntu, Debian :
وصله امنیتی برای آخرین نسخه های این سیستم عامل ها ارائه شده است و با بروز رسانی پکیج های سرور از جمله کرنل (Kernel) می توانید از این آسیب پذیری جلوگیری کنید.

همچنین لازم است به محض ارائه Firmware توسط سازندگان پردازنده های مربوطه،‌ نسبت به نصب آنها اقدام شود. (در زمان نگارش این اطلاعیه برای اکثر مدل های پردازنده آسیب پذیر هیچگونه پچ امنیتی منتشر نشده است)
به گفته کارشناسان ارائه پچ های امنیتی به خصوص برای آسیب پذیری Spectre عملیاتی حساس و زمان بر می باشد، گزارش هایی مبنی بر کرش در برخی سیستم عامل ها نیز پس از این بروزرسانی ها منتشر شده است و ظاهرا باید در انتظار انتشار پچ های امنیتی ثانویه و پایدار در هفته های آینده باشیم.

چنانچه از سرور های مجازی استفاده می کنید برای ایمن سازی سیستم عامل سرور خود لازم است تا نسبت به بروزرسانی سیستم عامل و کرنل و نصب وصله های امنیتی اقدام نمایید، و یا کافیست تا از طریق ارسال درخواست با بخش پشتیبانی اسپیس ایران در ارتباط باشید.

طبق اعلام تیم پروژه صفر گوگل که این آسیب پذیری توسط آن منتشر شده است، این نقص امنیتی تمام دستگاه های مبتنی بر اندروید و کروم او اس را نیز آسیب پذیر کرده است، به گفته گوگل بهره گیری از این شیوه نفوذ بسیار دشوار است.
نسخه بعدی کروم حدود سه هفته دیگر منتشر می شود، گوگل نیز راهبردهایی را برای تعدیل این آسیب پذیری به کار بسته است.