کشف آسیب پذیری عظیم در پردازندهها
به تازگی خبر آسیب پذیری بزرگی در طراحی پردازندهها منتشر شده که اولین بار توسط جوانی ۲۲ ساله عضو گروه امنیتی Google Project Zero کشف شده است. این دو باگ امنیتی که Meltdown و Spectre نامیده میشوند در تمامی پردازندههای تولید شده توسط شرکت AMD ،Intel و ARM وجود دارند که به صورت روزانه توسط میلیونها کاربر در قالب Laptop ،PC، تلفنهای هوشمند و… مورد استفاده قرار میگیرند.
باگ Spectre یک اشکال اساسی در طراحی تمامی پردازندهها بوده که برای رفع کامل آن، نیاز به بازطراحی پردازندهها وجود خواهد داشت. Meltdown نیز اساسا شرایط را برای مشکل امنیتی Spectre مساعدتر میکند. اما چگونه این دو آسیب پذیری عمل میکنند؟
برنامههای موجود بر روی کامپیوتر شما، هر یک با سطح مشخصی از مجوزهای امنیتی اجرا میشوند. در این میان سیستمعامل دارای بالاترین سطح دسترسی بوده اما سایر برنامهها مجوزهای محدودتری داشته و کرنل موارد قابل انجام را محدود میکند. مشکل از جایی آغاز میشود که پردازنده از تکنیکی با نام Speculative Execution برای افزایش سرعت پردازش استفاده میکند. پردازندههای جدید به صورت خودکار با استفاده از این تکنیک دستورالعملهایی که فکر میکنند لازمست را اجرا میکنند و هر زمانی که لازم باشد میتوانند به حالت قبل برگردند.
مشکل هر دوی آسیب پذیریها در حافظه نهان پردازنده یا همان Cache پنهان شده است. یک برنامه میتواند اقدام به خواندن حافظه کند. در این میان اگر چیزی را از Cache بخواند، عملیات با سرعت بیشتری به پایان رسیده و اگر سعی در خواندن چیزی کند که در کش موجود نیست، عملیات کندتر به پایان میرسد. برنامه میتواند ببیند که فرآیندی با سرعت آهسته یا سریع تکمیل شده و درحالیکه تمامی موارد دیگر توسط Speculative Execution پاک میشوند، زمان مورد نیاز برای انجام این کار قابل مخفی کردن نیست. در انتها این اطلاعات میتواند برای ساخت نقشهای از هر چیز موجود در حافظه استفاده شود. بنابراین کش کردن اطلاعات سرعت را بالا میبرد، اما از طرفی میتواند سبب ایجاد یک آسیب پذیری شود.
در بدترین حالت کدهای جاوا اسکریپت در مرورگر اینترنتی شما میتوانند به صورت موثری اقدام به خواندن حافظه شامل اطلاعات شخصی شما کنند که قرار نبوده مجوزی برای دسترسی به آنها وجود داشته باشد.
حال سوال مهم اینجاست که شرکتهای سازنده چه اقداماتی برای رفع این مشکل کردهاند و شما به عنوان کاربر چگونه میتوانید در برابر این تهدیدات جدید در امان باشید؟