أكدت إنتل أن عائلة سبكتر من نقاط الضعف هي الهدية التي تستمر في العطاء ، معلنة عن البديل الرابع الذي - كما هو الحال مع سابقاتها - يأتي مع حل له تأثير ملموس على أداء النظام.
بعد البدء من ثلاثة أنواع مختلفة من الثغرات في Meltdown و Specter التي تم الإعلان عنها في وقت سابق من هذا العام ، تستغل Specter Variant 4 نقاط الضعف ذات الصلة في التقنيات التي تم إدخالها في السيليكون لتعزيز الأداء. من خلال رصدها وتأكيدها من قبل Project Zero من Google ، فإن Spectre Variant 4 - إلى جانب Variant 3a ، وهو إصدار كان يعتقد سابقًا أنه يؤثر على معالجات Arm المختارة فقط ولكن تم تأكيدها الآن من قِبل Intel على أنها تمتد إلى عالم x86 - يسمح للمهاجمين بتجاوز الحماية ضد الوصول إلى الذاكرة والقراءة بيانات ذات امتيازات عشوائية أو تشغيل أوامر تم تنفيذها مسبقًا لا تزال في الذاكرة.
باختصار ، إنه مرة أخرى خطأ خطير - ولكن هناك بعض الأخبار الجيدة. إن أسهل طريقة لاستغلال الثغرة التي تم الكشف عنها حديثًا هي عبر متصفح الويب ، كما هو الحال مع سابقاتها ، كما أن التصحيحات التي تم إدخالها على المتغيرات السابقة من Specter و Meltdown فعالة أيضًا ضد Variant 4. وللأسف ، تتطلب الحماية المناسبة تثبيت رمز صغير محدث لتعطيل المتأثرات نظام التنفيذ المضارب - وهذا سيكون له تأثير آخر على الأداء ، مع ترك إنتل خيار تمكين أو عدم تمكين المستخدمين النهائيين.
" لقد قمنا بالفعل بتحديث تحديث الرمز الصغير لـ Variant 4 في نموذج بيتا إلى الشركات المصنعة لنظام OEM وموردي برامج النظام ، ونتوقع أن يتم إصداره في BIOS الإنتاج وتحديثات البرامج خلال الأسابيع المقبلة. "هذا التخفيف سوف يتم ضبطه على أساس التخلف عن السداد ، ليوفر للعملاء اختيار ما إذا كان سيتم تمكينه " ،تشرح ليزلي Culbertson من إنتل في تحديث أمني . " نتوقع أن معظم شركاء البرامج في الصناعة سوف يستخدمون خيار الإغلاق الافتراضي بالمثل. في هذا التكوين ، لم نلاحظ أي تأثير على الأداء. في حالة التمكين ، لاحظنا تأثيرًا للأداء بنسبة تتراوح من 2 إلى 8 في المائة تقريبًا استنادًا إلى النتائج الإجمالية للمعايير مثل معدل SYSmark 2014 SE و SPEC على أنظمة اختبار العميل والخادم. '
وبعبارة أخرى: بشكل افتراضي ، سيتم حماية المستخدمين حصرا من خلال تدابير الاستغلال التي أضيفت إلى متصفحات الويب مرة أخرى في يناير للحماية من البديل 1 ؛ أولئك الذين يريدون حماية حقيقية سوف يحتاجون إلى تمكين الحل بشكل فعال ، ويمكن أن يتوقعوا خسارة ما يصل إلى ثمانية بالمائة من أداء النظام الخاص بهم كنتيجة - إلى جانب تأثيرات الأداء من الحلول الرمزية المصغرة الأخرى Meltdown و Specter.
أكدت AMD أن معالجاتها الخاصة تتأثر بـ Variant 4 ، لكنها ذكرت أنها لا تعتزم إصدار تحديث خاص بها في microcode وستعتمد بدلاً من ذلك على بقع نظام التشغيل للحماية بسبب الصعوبات المحيطة بالاستغلال الناجح.
يمكن العثور على مزيد من المعلومات حول الثغرة نفسها في نشرة Google Project Zero العامة الآن والتي تناقش الخطأ.
ليست هناك تعليقات:
إرسال تعليق