Google phát hành thêm khủng hoảng và Spectre bản vá lỗi cho Chrome OS

Computer Security News

Google thông báo rằng lỗ hổng Spectre và khủng hoảng tiếp tục lây nhiễm cho các thiết bị với bộ xử lý Intel. Vì vậy, công ty phát hành bản vá lỗi bảo mật bổ sung cho hệ điều hành Chrome.

Tin tặc có thể khai thác các cuộc tấn công khủng hoảng và Spectre qua các cơ chế cách ly bộ nhớ và truy cập vào các dữ liệu nhạy cảm nhắm mục tiêu.

Khủng hoảng có thể cho phép tin tặc đọc bộ nhớ vật lý của các máy tính mục tiêu và ăn cắp thông tin đăng nhập của người dùng, thông tin cá nhân, vv. Cuộc tấn công khai thác thực hiện suy vi phạm sự tách biệt giữa người sử dụng ứng dụng và hệ điều hành, do đó bất kỳ ứng dụng có thể truy cập vào tất cả các bộ nhớ hệ thống.

“Spectre” cho phép ứng dụng chế độ người dùng trích xuất dữ liệu từ các quá trình khác đang chạy trên cùng một hệ thống. Cuộc tấn công cũng có thể được khai thác để trích xuất thông tin từ quá trình riêng của mình thông qua mã. Ví dụ, một đoạn mã độc hại có thể được sử dụng để trích xuất các đăng nhập tập tin cookie cho các trang web khác từ bộ nhớ của trình duyệt.

“Spectre” phá vỡ sự cô lập giữa các ứng dụng khác nhau, cho phép rò rỉ dữ liệu từ hạt nhân để người sử dụng chương trình, cũng như từ ảo hóa hypervisors với hệ thống đánh.

Các cuộc tấn công khủng hoảng nhắm mục tiêu dễ bị tổn thương 5754 người CVE-2017, trong khi các cuộc tấn công Spectre kích hoạt CVE-2017-5753 (Phiên bản 1) và CVE-2017-5715 (Phiên bản 2).

Các nhà nghiên cứu bảo mật tuyên bố rằng chỉ có khủng hoảng và Spectre biến thể 1 có thể được giải quyết thông qua phần mềm, trong khi Spectre biến thể 2 yêu cầu một bản Cập Nhật của vi cho bộ vi xử lý bị ảnh hưởng.

Vấn đề khủng hoảng trong Chrome hệ điều hành đã được đề cập trong các tháng mười hai khi Google phát hành phiên bản 63, hàng chục ngày trước khi các chuyên gia tại Google dự án bằng không tiết lộ các lỗ hổng.

Công ty phát hành các bản vá KAISER KPTI/ đến địa chỉ các lỗ hổng trong 70 Chromebook Intel dựa trên mô hình từ nhà cung cấp khác nhau, bao gồm Lenovo, Dell, Acer, HP, ASUS và Samsung.

Một vài ngày trước đây, Google phát hành Chrome OS 65 cũng bao gồm giảm nhẹ KPTI chống lại cuộc khủng hoảng đối với một số hệ thống dựa trên Intel không được giải quyết với phiên bản 3.14 của hạt nhân.

Ngoài ra, công ty tuyên bố rằng tất cả Chromebook Phiên bản với bộ vi xử lý Intel nên có sự giảm nhẹ KPTI cho cuộc khủng hoảng với việc phát hành của Chrome OS 66, dự kiến phát hành ngày 24 tháng 4 năm 2018.

“Kênh ổn định đã được Cập Nhật 65.0.3325.167 (Phiên bản nền tảng: 10323.58.0/1) cho hầu hết các thiết bị Chrome OS. Xây dựng này có chứa một số sửa lỗi và Cập Nhật bảo mật.” Các tiểu bang thông báo của Google.

“Intel thiết bị trên 3.14 hạt nhân được giảm nhẹ KPTI chống lại cuộc khủng hoảng với Chrome OS 65. Tất cả các thiết bị Intel đã nhận được các Retpoline giảm nhẹ so với phiên bản Spectre 2 với Chrome OS 65. “

Phiên bản Chrome OS 65 cũng có tính năng giảm nhẹ Retpoline cho Spectre biến thể 2 cho tất cả các thiết bị dựa trên Intel.

Các chuyên gia tại Google chỉ ra rằng tấn công Spectre biến thể 1, Subscribers có thể lạm dụng các tính năng eBPF trong hạt nhân Linux, Tuy nhiên, Hệ điều hành Chrome vô hiệu hóa eBPF.

Hiện nay, nhóm Google đang làm việc để trang trải tất cả các vấn đề Spectre. Thiết bị hệ điều hành Chrome chạy trên hệ thống dựa trên cánh tay không bị ảnh hưởng bởi khủng hoảng.


Leave a Reply

Your email address will not be published. Required fields are marked *