Još dvije sigurnosne slabosti povezane s ranjivošću Spectre Variant 2 otkrivene su unutar starijih AMD i Intel procesorskih čipova. Još nije poznato hoće li napadači iskoristiti ove slabosti.
Stariji čipovi za obradu potencijalna su meta
Dvije ranjivosti, nazvane CVE-2022-29900 (za AMD čipove) i CVE-2022-29901 (za Intel čipove), zabrinuti su za procesore Intel Core generacije 6 do 8 i AMD Zen 1, Zen 1+ i Zen 2 procesori.
Ovi modeli su ranjivi na napade spekulativnog izvršenja, koji mogu prevariti dani CPU da izvrši pogrešnu instrukciju koja pristupa privatnim podacima unutar memorije kernela čipa.
Ovo se također može nazvati napadom sporednog kanala, budući da koristi sporedni kanal za prijenos informacija.
Kao što je napisano na Web stranica COMSECOve dvije nove ranjivosti nazvali su RetBleed od strane istraživača ETH Zurich Kaveh Razavi i Johannes Wikner. RetBleed je odgovoran za izdvajanje ukradenih podataka nakon što je određena ranjivost iskorištena kako bi je napadači mogli iskoristiti u svoju korist.
U Epizoda 21 Intelove video serije Chips & Salsa, tvrtka je izjavila da su Windows, Linux i macOS uređaji osjetljivi na ove dvije slabosti.
Još nije poznato hoće li se te ranjivosti iskoristiti
Iako postoji potencijal za iskorištavanje ranjivosti CVE-2022-29900 i CVE-2022-29901, bilo koji slučajevi da se to dogodi tek treba biti objavljeni. U vrijeme pisanja ovog teksta nisu otkriveni nikakvi podvigi u divljini Intel ili AMD, no to ne znači nužno da budući napadi ne dolaze u obzir.
Iako se zakrpe testiraju kako bi ublažile ove dvije nove ranjivosti, resursi potrebni za ovaj podvig vjerojatno će uzrokovati pozamašne troškove, što zabrinjava i AMD i Intel.
Očekujte nove zakrpe za ove ranjivosti
Spectre je prvi put najavljen 2018. godine, a svaka nova iteracija ranjivosti uspješno je nadvladana. Specifični obrambeni sustav poznat kao Reptoline postavljen je 2018 ublažiti Spectre napade, ali nove su ranjivosti uspjele zaobići ovu zaštitnu mjeru. Povećanje sigurnosnih mjera na ovim AMD i Intel čipovima također može uzrokovati smanjenje kvalitete performansi.
Međutim, te su zakrpe vjerojatno potrebne kako bi se spriječilo iskorištavanje ovih Spectre ranjivosti u prirodi. Trenutačno se rade mjere ublažavanja za rješavanje ovog problema.
Spectre je stalna briga
Još nije poznato hoće li se u budućnosti pojaviti nove varijacije Spectrea. U prošlosti se pojavilo više iteracija, a ove dvije nove ranjivosti sugeriraju da bi ih moglo biti još.
Iako će nove zakrpe vjerojatno uzrokovati značajne troškove, one će zaštititi korisnike da ne postanu žrtve mogućih budućih iskorištavanja putem ranjivosti CVE-2022-29900 i CVE-2022-29901.
