พบช่องโหว่ซีพียูใหม่ ZombieLoad ในซีพียู Intel ตั้งแต่ปี 2011 ผู้ผลิตออกตัวแก้ไขมาแล้ว

พบช่องโหว่ซีพียูใหม่ ZombieLoad ในซีพียู Intel ตั้งแต่ปี 2011 ผู้ผลิตออกตัวแก้ไขมาแล้ว

This post was originally published on this site

นักวิจัยได้ค้นพบช่องโหว่ใหม่ในซีพียูของอินเทล ซึ่งสามารถขโมยข้อมูลสำคัญได้โดยตรงผ่านโปรเซสเซอร์ โดยรูปแบบของช่องโหว่นี้คล้ายกับ Meltdown หรือ Spectre ที่อาศัยช่องโหว่จากการออกแบบซีพียูให้ทำงานเร็วขึ้น หรือ speculative execution โดยตั้งชื่อช่องโหว่นี้ว่า ZombieLoad และแจ้งอินเทลให้รับทราบตั้งแต่เดือนที่แล้ว

กระบวนการทำงานนั้นอาศัยการช่วงเวลาที่มีข้อมูลหรือคำสั่งจำนวนมากที่ทำงานไม่ได้ เกิดการเรียกไมโครโค้ดเพื่อป้องกันการแครช ทำให้แอปต่าง ๆ สามารถอ่านข้อมูลโดยตรงผ่านซีพียูได้

อินเทลระบุว่าช่องโหว่มีทั้งหมด 4 รายการ ได้แก่ CVE-2018-12126 , CVE-2018-12127,CVE-2018-12130 และ CVE-2019-11091 กระทบกับซีพียูที่ออกมาตั้งแต่ปี 2011 ขณะที่ยังไม่พบปัญหาดังกล่าวในซีพียูของ AMD กับ ARM

ช่องโหว่ดังกล่าวสามารถป้องกันได้ที่ระดับระบบปฏิบัติการ ซึ่งซอฟต์แวร์ค่ายใหญ่ก็ได้ออกตัวแก้ไขมาแล้ววันนี้

  • แอปเปิล ออกตัวแก้ไขแล้วสำหรับ macOS Mojave 10.14.5 ผู้ใช้ทั่วไปจะไม่เห็นประสิทธิภาพการทำงานที่ลดลง แต่หากมีการทำงานหนัก อาจลดลงถึง 40%
  • กูเกิล Chrome OS มีการป้องกันปัญหานี้แล้วในเวอร์ชันล่าสุด ส่วน Android จะกระทบกับอุปกรณ์ที่เป็นซีพียูอินเทล ซึ่งต้องให้ผู้ผลิตออกอัพเดตแก้ไข
  • Firefox จะออกตัวแก้ไขในเวอร์ชัน 67
  • ไมโครซอฟท์ ออกอัพเดตผ่านแพตช์ของเดือนพฤษภาคม ที่ออกมาในวันนี้
  • AWS มีการแพตช์แก้ไขไปเรียบร้อยแล้ว

ที่มา: อินเทล, TechCrunch, [2]

alt="Intel"

Source: http://shop.9pi.co.th/en_US/2019/05/15/%e0%b8%9e%e0%b8%9a%e0%b8%8a%e0%b9%88%e0%b8%ad%e0%b8%87%e0%b9%82%e0%b8%ab%e0%b8%a7%e0%b9%88%e0%b8%8b%e0%b8%b5%e0%b8%9e%e0%b8%b5%e0%b8%a2%e0%b8%b9%e0%b9%83%e0%b8%ab%e0%b8%a1%e0%b9%88-zombieload/