Güvenlik araştırmacıları Çarşamba günü, bilgisayar korsanlarının Intel Corp, Advanced Micro Devices Inc ve ARM Holdings’in fişlerini içeren hemen hemen her modern bilgi işlem aygıtından hassas bilgi çalmalarına izin verebileceklerini söylediği bir dizi güvenlik açıklarını açıkladı.
Hatalarından biri Intel’e özeldir ancak başka bir hata, dizüstü bilgisayarları, masaüstü bilgisayarları, akıllı telefonları, tabletleri ve internet sunucularını da etkiliyor. Intel ve ARM, konunun tasarımda bir kusur olmadığını, ancak kullanıcıların bir düzeltme paketi indirmesini ve işletim sistemini düzeltmeleri için güncellemelerini isteyeceklerini söyledi.
Telefonlar, bilgisayarlar, her şeyin bir etkisi olacak, ancak ürüne göre değişiklik göstereceğim ?? Intel CEO’su Brian Krzanich Çarşamba öğleden sonra CNBC ile yaptığı röportajda söyledi. Alphabet Inc’in Google Project Zero’lu araştırmacılar, çeşitli ülkelerdeki akademik ve endüstri araştırmacıları ile birlikte iki kusur keşfetti. Meltdown adı verilen ilk, Intel cipslerini etkiliyor ve bilgisayar korsanlarının bir bilgisayarın belleğini okumasına ve şifrelerini çalmasına izin veren bilgisayar korsanlarının, kullanıcılar tarafından çalıştırılan uygulamalar ile bilgisayarın belleği arasındaki donanım bariyeri atlatmasına izin veriliyor.
Spectre adı verilen ikincisi, Intel, AMD ve ARM yongalarını etkiliyor ve bilgisayar korsanlarının, aksi takdirde hatasız uygulamaları aldatarak gizli bilgileri vermelerine izin veriyor. Araştırmacılar, web sitesinde Intel’in kusurları Intel’e açıklamaları nedeniyle onlara bir “böcek kahramanı” ödediğini ancak bir dolar tutar belirtmediğini belirtti. Araştırmacılar, Apple Inc ve Microsoft Corp’un Meltdown’tan etkilenen masaüstü bilgisayarlara yönelik hazır yamaları olduğunu söyledi.
Microsoft, işletmeler tarafından kullanılan Azure bulut hizmetlerinin “çoğunluğunun” zaten yamalanmış ve korunmuş olduğunu ve bir Windows güvenlik güncelleştirmesi yayınladığını söyledi. Microsoft, bu güvenlik açıklarının müşterilerimize saldırmak için kullanıldığını göstermek için herhangi bir bilgi almadığını Microsoft tarafından yapılan açıklamada, Apple’ın yorum talebinde bulunmadığını ve iOS işletim sistemi kullanıcılarının iPhone’lara ve iPad’lere güç sağladığı belli değil Graz Teknoloji Üniversitesi’nden araştırmacılardan Meltdown’u keşfeden Daniel Gruss, Reuters ile yaptığı röportajda “muhtemelen şimdiye kadarki en kötü CPU hatalarından biri” olarak nitelendirdi.
Gruss, Meltdown’un kısa vadede daha ciddi bir sorun olduğunu, ancak yazılım yamaları ile kesin olarak durdurulabileceğini söyledi. Spectre, neredeyse tüm bilgisayar aygıtları için geçerli daha geniş hata, bilgisayar korsanlarının yararlanabilmeleri daha kolay ancak daha az yamalı hale getirilmesi zor ve uzun vadede daha büyük bir sorun haline geleceklerini söyledi. CNBC’den konuşan Intel’in Krzanich, Google araştırmacılarının kusurları “bir süre önce” Intel’e anlattığını ve Intel’in önümüzdeki hafta fişlerini kullanan aygıt üreticilerinin patlayacağını test ettiğini söyledi.
Sorunlar kamuoyuna açıklanmadan önce Google, blogunda Intel ve diğerlerinin 9 Ocakta sorunları açıklamayı planladığını söyledi. Bu kusurlar önce Theatre Tech yayıncılığı tarafından bildirildi. Ayrıca, sorunları düzeltmek için yapılan güncellemelerin Intel yongalarının yüzde 5 ila yüzde 30 daha yavaş çalışmasına neden olabileceğini bildirdi. Intel, yamaların Intel yongalarına dayalı bilgisayarlara zarar vereceğini reddetti.
Intel, yaptığı açıklamada “Intel, bu patlatmaları azaltmak için yazılım ve bellenim güncellemeleri yapmaya başladı” dedi. “Bazı raporların aksine, herhangi bir performans etkisi, iş yüküne bağlıdır ve ortalama bir bilgisayar kullanıcısı için önemsiz olmamalı ve zaman içinde hafifletilmelidir.
“ARM sözcüsü Phil Hughes, yamaların bir çok akıllı telefon üreticisini de içeren şirketlerin ortaklarıyla zaten paylaşıldığını söyledi.” Bu yöntem yalnızca belirli bir tür kötü amaçlı kod bir cihazda çalışıyorsa ve en kötü ihtimalle küçük parçalara neden olabilir Verilerin ayrıcalıklı hafızadan erişildiğini “belirtti. Hughes bir e-postayla şöyle dedi:
AMD yongaları da en az bir güvenlik kusurundan etkileniyor. Şirket, “şu anda AMD ürünleri için sıfıra yakın risk olduğuna” inandığını söyledi. Google, bir blog yazısında, en son güvenlik güncellemelerini içeren kendi Nexus ve Pixel telefonlarının olduğu gibi en son güvenlik güncellemelerini çalıştıran Android telefonların korunduğunu söyledi. Gmail kullanıcılarının kendilerini korumak için herhangi bir ek işlem yapmaları gerekmez; ancak kendi işletim sistemlerini kurdukları Chromebook’ların, Chrome web tarayıcısının ve Google Cloud hizmetleri kullanıcılarının güncellemeleri yüklemesi gerekecektir. Kusur, son on yılda üretilen Intel x86 işlemci yongalarında çekirdek belleğini etkiliyor; The Register, adsız programcılara, normal uygulamaların kullanıcılarının fiş üzerindeki korunan alanların içeriğini veya içeriğini anlamasına olanak tanıdığını bildirdi.
Siber güvenlik danışmanlık şirketi Trail of Bits’in CEO’su Dan Guido, işletmelerin güvenlik açığından etkilenen sistemlerin güncellenmesine hızla geçmesi gerektiğini söyleyerek, bilgisayar korsanlarının bu güvenlik açığından yararlanan saldırıları başlatmak için kullanabilecekleri kodu hızla geliştirmesini beklediğini söyledi. Guido, “Bu böcekler için yapılan araştırmalar, bilgisayar korsanlarının standart araç takımlarına eklenecek” dedi. Intel’in hisseleri raporun ardından% 3,4 oranında düştü ancak saat başı ticarette% 1,2 yükselerek 44,70 $ seviyesine geriledi; AMD hisseleri ise% 1 artışla 11,77 $ seviyesine geriledi ve raporların öngördüğü günlerde kazanılan kazançların çoğundan düştü cipsleri etkilenmedi. Intel’in bildirilen kusurdan kaynaklanan ciddi bir finansal yükümlülükle karşılaşıp çalışmayacağının hemen netleşmedi.
New York’taki Rosenblatt Securities’den Hans Mosesmann, “Mevcut Intel sorununun doğruysa, bizim için CPU’nun değiştirilmesini gerektirmeyecek, ancak durum akıcı” dedi ve şirketin itibarını zedeledi.