אחרי שחלק מתיקוני פרצות האבטחה במעבדים עשו יותר נזק מתועלת – מיקרוסופט מאפשרת לבטל את השפעתם בעדכון חדש למערכות ההפעלה שלה
אין ספק שחשיפתן של פרצות האבטחה החומרתיות במעבדים מבית אינטל, AMD ו-ARM, שכבר זכו מאז לשמות הרשמיים Meltdown ו-Spectre (ואפילו ללוגו אישי) תפסה את עולם החומרה לא מוכן – ועדות טובה לכך היא כמות הבעיות והתקלות הבלתי מבוטלת שנולדו בעקבות הגל הראשון של תיקוני התוכנה והקושחה שהופץ בשוק בכדי להתמודד עם הבעיות.
מעבר לחשש הראשוני לפגיעה של ממש בביצועי המעבדים, אשר לשמחתנו באה לידי ביטוי רק בחלק מאוד מסויים של היישומים והשימושים בעוד שרובם המוחלט של הצרכנים הביתיים והארגוניים לא ראה שינוי כלשהו במסגרת המעבר – התיקונים של אינטל לפרצת ה-Spectre, רחבת ההיקף אך גם זו שמסובכת יותר לניצול זדוני בהשוואה ל-Meltdown, הביאו להופעתן של קריסות תכופות בחלק ממשפחות מוצריה מהעבר, למשל.
באינטל המליצו למשתמשיהם להפסיק להתקין את הטלאי הבעייתי (CVE-2017-5715) עד להפצתה של גירסה מלוטשת, בדוקה ומתוקנת שלו, אך במיקרוסופט לא הסתפקו בהתראה זו שרלוונטית רק לאלו שעדיין לא ביצעו את התיקון המדובר – והחליטו להפיץ טלאי משלהם שכל מטרתו היא למעשה ביטול של התיקון הפגום הספציפי מבית אינטל.
עדכון KB4078130 אותו ניתן להוריד ולהתקין באופן ידני ועצמאי בלבד עבור חלונות 10, חלונות 8.1 וחלונות 7, מאפשר את ביטול התיקון CVE-2017-5715, לטובת כל אלו שחשים כי יציבות המערכת שלהם נפגעה כתוצאה ממנו – תוך המשך ההמתנה לגירסת הטיפול הבאה בו שאמורה להגיע בקרוב מאינטל ומשותפותיה החומרתיות השונות.
אין ספק שהמצב הזה לא נעים לאף אחד מהצדדים, יצרניות וצרכנים כאחד, אך ראוי לציין כי מדובר בתיקון בעייתי לפרצה פוטנציאלית אחת מתוך שלוש, בעוד שהאחרים עושים את עבודתם כמתוכנן, לכאורה – כך שנוכל להחזיק אצבעות לכך שבעוד כמה חודשים נוכל כבר להצהיר על כך שכל סאגת ה-Meltdown וה-Spectre כבר מאחורי, ולקוות כי הסטטוס הנוכחי של ניצול הפרצות המעשי (לא ידוע על שימוש כלשהו בהן למטרות פוגעניות) יישאר כמו שהוא.
מרגע שפרסמו אודות הפריצות האלה (גם אם בלי לפרט איך יכולים לנצל אותם ומה בדיוק השלבים כדי לעקוב אחרי מה שעובר במעבד), כבר מערך ההאקרים העולמי חורש על זה…
רוב מעבדי AMD לא פגיעים ל-מלטדאון אלא לספקטר. יתרון אחד נוסף לחברה הזו…
אגב לינוס טרווואלדוס הידוע, ציין לאחרונה שהתיקונים שאינטל הפיצה 'לא הגיוניים'.
תוכנה לבדיקת הפגיעות – https://www.grc.com/files/InSpectre.exe (מטעם סטיב גיבסון, אחרון המתכנתים באסמבלי).
לגבי מה שכתבת בסוף בסוגריים, מאיפה הגעת לקביעה שהוא אחרון המתכנתים באסמבלי?
אסמבלי מן הסתם זו השפת תכנות הראשונה (שפת סף) לאחר שפת מכונה, וגם תמיד תישאר ותמיד יהיו כאלה שיתכנתו איתה (בסופו של דבר הכל צריך להיות מקומפל לאסמבלי או לשפת מכונה, אין הבדל ביניהם שכן אסמבלי מתאר את שפת מכונה)…
בכל מקרה תודה על המידע 😉
כסף מת!
לא צריך לחטט בחרא כשהוא יבש!
עדיין לא שמענו שעובדים על סיליקון חדש שיהיה חף מהבעיות הללו.
אנחנו כן יודעים שהדור הבא של המעבדים, עדיין יכיל את הפרצות הללו.
נושא הרווחים השיווק והיצור מובן אבל עד עכשיו לא שמענו על מעבדים שיהיו חפים מהבעיות הללו או לפחות צפי לגבי מעבדים בטוחים כאלו.
זה לא בדיחה, נגיד שהבעיה עוד קיימת אצלך במחשב, ואז את בינתיים יושבת להכניס כרטיס אשראי כדי להזמין משהו, ועל הדרך ההאקר קורא את פרטי כרטיס אשראי מתוך המסלול במעבד וזהו יש לו אותם ואז משתמש בהם להנאתו…
לא אמרתי שחייב להיות אחד מפורסם, זה כולל גם כאלה שלא חופשים את עצמם, אני אישית עסקתי בתכנות אסמבלי לא מעט (כרגע לצערי לא מחוסר זמן) ואוהב את השפה הזאת…