اسپکتر (آسیبپذیری امنیتی)
From Wikipedia, the free encyclopedia
اسپکتر (به انگلیسی: spectre) آسیبی است که تأثیر آن بر ریزپردازندههای مدرن که پیشبینی انشعاب را انجام میدهند نمایان میشود.[1][2][3] در بیشتر ریز پردازندهها، اجرای سوداگرانه ناشی از انشعاب نادرست ممکن است تأثیرات جانبی قابل توجه ای داشته باشد و امکان دارد دادههای خصوصی را برای مهاجمین آشکار سازد. به عنوان مثال، اگر الگوی دسترسی به حافظه انجام شده توسط چنین اجرای سوداگرانه ای وابسته به دادههای خصوصی باشد، نتیجه حاصل از حافظه نهان داده یک کانال جانبی را تشکیل میدهد که از طریق آن یک مهاجم ممکن است با استفاده از یک حمله زمانبندی ، بتواند اطلاعات مربوط به دادههای خصوصی را استخراج نماید.[4][5][6]
شناسه(های) سیویئی | CVE-2017-5753 (اسپکتر-وی۱)، CVE-2017-5715 (اسپکتر-وی۲) |
---|---|
تاریخ کشف | ژانویه ۲۰۱۸؛ ۶ سال پیش (۲۰۱۸}}) |
سختافزار تحت تأثیر | تمام ریزپردازندههای پیش از ۲۰۱۹ که از پیشبینیکننده پرش استفاده میکنند |
وبگاه | وبگاه رسمی |
دو شناسه متداول آسیبپذیری و افشای مربوط به اسپکتر عبارتند از: CVE-2017-5753 (گذرگاه بررسی محدوده اسپکتر-نسخه۱، اسپکتر ۱٫۰) و CVE-2017-5715 (تزریق انشعاب هدف، اسپکتر نسخه2).[7] موتورهای JIT که برای جاوا اسکریپت مورد استفاده قرار میگرفتند آسیبپذیر یافت شدند. یک وب سایت میتواند دادههای ذخیره شده در مرورگر را برای وب سایت دیگری با حافظه مرورگر خود بخواند.[8]
در اوایل سال ۲۰۱۸، اینتل اعلام کرد که واحدهای پردازش مرکزی خود را به گونهای طراحی خواهد کرد که در مقابل آسیبهای اسپکتر، آسیبهای مرتبط با ملتداون و ضررهای مرتبط با عملکرد، محافظت شود. این محافظت ویژه اسپکتر نسخه ۲ و ملتداون بود.[9][10][11][12] در ۸ اکتبر سال ۲۰۱۸، گزارش شد که شرکت اینتل جهت آسیبپذیریهای اسپکتر و ملتداون، کاهش سختافزار و سیستم عامل را به جدیدترین پردازندههای خود اضافه کردهاست.[13] در اکتبر سال ۲۰۱۸، محققان MIT رویکرد کاهش جدیدی بنام DAWG (حفاظ راه تخصیص یافته پویا) ارائه دادند که ممکن است نوید امنیت بهتر بدون به خطر انداختن عملکرد را داشته باشد.[14]