سیستم عامل کروم نسخه‌ی ۷۵ راه‌کارهای مقابله‌ای بیشتری برای آسیب‌پذیری‌های MDS اینتل اضافه می‌کند

سیستم عامل کروم نسخه‌ی ۷۵ که گوگل هفته‌ی گذشته آن را در کانال پایدار منتشر کرد، راه‌کارهای مقابله‌ای بیشتری برای آسیب‌پذیری‌های جدید Microarchitetural Data Sampling (MDS) که بیشتر پردازنده‌های اینتل ساخته‌شده در دهه‌ی گذشته را تحت تأثیر قرار می‌دهد، اضافه کرده است. پژوهش‌گرانی که این حفره‌های امنیتی را کشف کردند آن‌ها را ZombieLoad، RIDL، Fallout و Store-to-Leak Forwarding نامیده‌اند.

اینتل نیز نام‌ها و شناسه‌های CVE خود را به آن‌ها اختصاص داده است: Microarchitectural Store Buffer Data Smapling (MSBDS،  CVE-2018-12126)، Microarchitectural Fill Buffer Data Sampling (MFBDS،  CVE-2018-12130)، Microarchitectural Load Port Data Sampling (MLPDS،  CVE-2018-12127) و Microarchitectural Data Sampling Uncacheable Memory (MDSUM،  CVE-2018-11091).

زمانی‌که این آسیب‌پذیری‌ها افشا شدند، گوگل به کاربران سیستم عامل کروم اطلاع داد که نسخه‌ی ۷۴ به‌طور پیش‌فرضHyper-Threading  را که باید از بهره‌برداری جلوگیری می‌کرد، غیرفعال کرده است. سیستم عامل کروم ۷۵ همچنین شامل سایر راه‌کارهای مقابله‌ای برای این حملات است.

کاربران درباره‌ی کاهش عملکرد دستگاه مانند حالتی که از یک پردازنده با بار کاری بسیار زیاد استفاده می‌کنند که احتمالاً Hyper-Threading را فعال کند، نگران هستند. تنظیمات آن در chrome://flags#scheduler-configuration قرار دارد. تنظیمات عملکرد پیکربندی را که Hyper-Threading را فعال می‌کند، انتخاب می‌کند. تنظیمات conservative نیز پیکربندی را که Hyper-Threading را غیرفعال می‌کند، انتخاب می‌کند.

روش‌های حمله‌ی ZombieLoad، RIDL، Fallout هم در رایانه‌های شخصی و هم محیط‌های ابری کار می‌کند. یک مهاجم می‌تواند از این روش‌ها برای کنترل برنامه‌ها، سیستم عامل، ماشین‌های مجازی و محیط‌های اجرای قابل اطمینان برای افشای اطلاعات ازجمله گذرواژه‌ها، محتوای وب‌گاه، کلیدهای رمزنگاری حافظه و تاریخچه‌ی مرور استفاده کند.

در مورد سیستم عامل کروم، دستگاه‌های آسیب‌دیده شامل چند دستگاه Chromebook، Chromebox و Chromebase هستند که توسط AOpen، ASI، ایسوس، اِیسر، Bobicus، CTL، دِل، Edxis، گوگل، اِچ‌پی، ال‌جی، لنوو، سامسونگ و توشیبا و سایر شرکت‌ها ساخته شده‌اند.

منبع

Related posts

Leave a Comment

4 × 1 =