Kaksi muuta Spectre Variant 2 -haavoittuvuuteen liittyvää tietoturvaheikkoutta on löydetty vanhemmista AMD- ja Intel-suorittimista. Vielä ei tiedetä, hyödyntävätkö hyökkääjät näitä heikkouksia.

Vanhemmat käsittelysirut ovat mahdollinen kohde

Kaksi haavoittuvuutta, nimeltään CVE-2022-29900 (AMD-siruille) ja CVE-2022-29901 (Intel-siruille), ovat huolenaiheita Intel Core -sukupolven 6–8 -prosessoreille sekä AMD Zen 1-, Zen 1+- ja Zen 2 -prosessoreille prosessorit.

Nämä mallit ovat alttiina spekulatiivisille suoritushyökkäyksille, jotka voivat huijata tietyn suorittimen suorittamaan virheellisen käskyn, joka käyttää sirun ytimen muistissa olevia yksityisiä tietoja.

Tätä voidaan kutsua myös sivukanavahyökkäykseksi, koska se käyttää sivukanavaa tiedon siirtämiseen.

Kuten on kirjoitettu COMSEC-verkkosivusto, ETH Zürichin tutkijat Kaveh Razavi ja Johannes Wikner ovat nimenneet nämä kaksi uutta haavoittuvuutta RetBleediksi. RetBleed vastaa varastettujen tietojen purkamisesta tietyn haavoittuvuuden hyödyntämisen jälkeen, jotta hyökkääjät voivat käyttää sitä hyödykseen.

Sisään Intelin Chips & Salsa -videosarjan jakso 21, yhtiö totesi, että Windows-, Linux- ja macOS-laitteet ovat haavoittuvia näille kahdelle heikkoudelle.

Ei ole vielä tiedossa, käytetäänkö näitä haavoittuvuuksia hyväkseen

Vaikka haavoittuvuuksia CVE-2022-29900 ja CVE-2022-29901 voidaan hyödyntää, tämän tapauksista ei ole vielä ilmoitettu. Kirjoitushetkellä ei ole löydetty luonnosta hyväksikäyttöä Intel tai AMD, mutta tämä ei välttämättä tarkoita, että tulevat hyökkäykset olisivat poissuljettuja.

Vaikka korjaustiedostoja testataan näiden kahden uuden haavoittuvuuden lieventämiseksi, saavutukseen tarvittavat resurssit aiheuttavat todennäköisesti valtavia yleiskustannuksia, mikä on huolenaihe sekä AMD: lle että Intelille.

Odota uusia korjaustiedostoja näihin haavoittuvuuksiin

Spectre julkistettiin ensimmäisen kerran vuonna 2018, ja jokainen uusi haavoittuvuuden iteraatio on onnistuneesti voitettu. Erityinen puolustusjärjestelmä, joka tunnetaan nimellä Reptoline, otettiin käyttöön vuonna 2018 lieventämään Spectre-hyökkäyksiä, mutta uudet haavoittuvuudet ovat voineet ohittaa tämän suojatoimenpiteen. Näiden AMD- ja Intel-sirujen turvatoimien lisääminen voi myös heikentää suorituskyvyn laatua.

Näitä korjaustiedostoja tarvitaan kuitenkin todennäköisesti estämään näiden Spectre-haavoittuvuuksien hyödyntäminen luonnossa. Tämän ongelman ratkaisemiseksi valmistellaan parhaillaan lievennyksiä.

Spectre on jatkuva huolenaihe

Vielä ei tiedetä, ilmestyykö Spectresta uusia muunnelmia tulevaisuudessa. Useita iteraatioita on ilmennyt aiemmin, ja nämä kaksi uutta haavoittuvuutta viittaavat siihen, että lisää saattaa olla tulossa.

Vaikka uudet korjaustiedostot aiheuttavat todennäköisesti merkittäviä lisäkustannuksia, ne suojaavat käyttäjiä joutumasta uhriksi mahdollisille tuleville hyväksikäytöille CVE-2022-29900- ja CVE-2022-29901-haavoittuvuuksien kautta.