فريق "Project Zero" يكتشف ثغرتين أمنيتين في المعالجات تهددان معظم الهواتف والحواسب!
ظهرت ثغرتان أمنيتان قد تم اكتشافهما من قبل الفريق الأمني التابع لجوجل و يخشى أنهما تهددان جميع المعالجات الحالية تقريبًا، وذلك على الأجهزة الذكية والحواسب الشخصية.
ووفقًا لفريق جوجل الأمني "Project Zero"، فإن الثغرتين اللتين أُطلق عليهما اسما Meltdown و Spectre، سوف تؤثران على كل معالج صنع خلال السنوات العشرين الماضية.
وتعتبر ثغرة Meltdown التهديد المباشر، بينما توصف ثغرة Spectre على أنها أعمق بكثير وأكثر صعوبة في التصحيح، مما يؤدي إلى أجيال من الثغرات الخفية في السنوات القادمة. ولإدراك حجم الخطر المحدق بسبب الثغرتين المكتشفتين حديثًا، يكفي أن يقال أن جميع الشركات التقنية الكبرى استنفرت كل قواها لحماية نفسها وعملائها.
وينصب التركيز حتى الآن على الأجهزة الشخصية، مع إطلاق الكثير من التحديثات الأمنية اليوم، ولكن العديد من الخبراء يعتقدون أن الضرر الأكثر خطورة من المرجح أن يأتي حينما تستغل الثغرات على الخدمات السحابية.
ولتوضيح آلية عمل الثغرتين، تجدر الإشارة إلى أن معظم وحدات المعالجة المركزية الحديثة، بما في ذلك معالجات Intel، AMD، و ARM، تلجأ بهدف تحسين الأداء إلى تقنية تدعى “Speculative Execution". إذ قد يختار العديد من تلك المعالجات تنفيذ تعليمات استنادًا إلى الافتراضات التي يرجح أن تكون صحيحة.
وأثناء “التنفيذ التخميني” أو "Speculative Execution" يقوم المعالج بالتحقق من هذه الافتراضات. فإذا كانت صالحة، فإنه يستمر في التنفيذ. وإذا كانت غير صالحة، فإن التنفيذ يلغى.
ولكن تكمن المشكلة في أن هذه الميزة تحمل آثار جانبية لا يمكن التخلص منها حينما يتم تنفيذ جميع العمليات، الأمر الذي قد يؤدي إلى أن تكشف المعلومات التي تخزن في ذاكرة النظام مثل كلمات المرور، ومواد مفاتيح التشفير.
وبعد اكتشاف هذه الثغرة الأمنية، عملت جوجل مع الفرق الداخلية والشركاء في الصناعة لمعالجة المشكلات. وقالت الشركة في بيان: “لا يوجد إصلاح واحد لجميع أنماط الهجوم الثلاثة. إذ إن كلًا منها يتطلب حماية مستقلة. ولدى العديد من البائعين ترقيعات أمنية لواحد أو أكثر من تلك الهجمات”.
وبالنسبة لمنتجات جوجل، فإن التحديث الأمني لنظام أندرويد والذي تم إطلاقه اليوم يتضمن آلية من أجل الحد من إمكانية الوصول والحد من الهجوم (على جميع المتغيرات المعروفة على معالجات ARM). وأكدت جوجل أن الثغرات صعبة ومحدودة على غالبية أجهزة أندرويد، ومع التحديثات المستقبلية سوف تضيف المزيد من الحماية.
أما بالنسبة إلى متصفح كروم، فإن الإصدار 64 المقرر إطلاقه يوم 23 جانفي الحالي سوف يتضمن آليات حماية من الثغرات، وإلى ذلك الحين يمكن للمستخدمين تفعيل ميزة تعرف باسم "Strict site isolation” لعزل المواقع في مساحات منفصلة للعناوين.
![[about]](http://4.bp.blogspot.com/-TCdLod9WqSQ/V9_IAOZGH5I/AAAAAAAAFmI/BxkDAgsNtVwGwhbPPXQX5bAp8qu1I6yfwCK4B/s1600/2016-09-19_120735.png)
ليست هناك تعليقات:
إرسال تعليق