Microsoft, Linux, Google ve Apple, güvenlik araştırmacılarının Meltdown ve Spectre adlı işlemci yongalarındaki tasarım kusurlarını ele alan yamalar çıkarmaya başladı. İşte bu kusurlar hakkında bilmeniz gerekenler:
Meltdown ve Spectre nedir?
Meltdown, CVE-2017-5754 olarak tanımlandı. Meltdown, bilgisayar korsanlarının bir uygulama / program veya işletim sistemi (OS) tarafından kullanılan ayrıcalıklı belleğe erişim elde etmesine olanak verebilir. Meltdown, Intel işlemcileri etkiler.
Spectre CVE-2017-5753 ve CVE-2017-5715 olarak tanımlandı. Spectre saldırganların çekirdek / önbelleğe alınmış dosyalarda veya çalışan programların belleğinde depolanan, örneğin kimlik bilgileri (şifreler, giriş tuşları vb.) gibi bilgileri sızdırmasına izin verebilir. Spectre’nin Intel, Advanced Micro Devices (AMD) ve Advanced RISC Machine (ARM) işlemcilerini etkilediği bildirildi.
Modern işlemciler “spekülatif çalıştırma” gerçekleştirmek üzere tasarlanmıştır. Bu özellik sayesinde, çalıştırılması beklenen işlevler “önceden olasılıkları tahmin edilerek” çalıştırılabilir ve bu olasılıklar kuyruğa atabilir; bu sayede uygulamalar / yazılımlar daha hızlı çalıştırabilirler. Bu işlemci performansını optimize etmek için kullanılan bir endüstri tekniğidir. Bununla birlikte, bu teknik, normalde yalıtılmış verilere erişime izin verir ve muhtemelen bir saldırganın verilere erişebilecek bir güvenlik açığı oluşturmasına da izin verir.
Etkisi nedir?
1995 yılından bu yana inşa edilen Intel işlemcilerin Meltdown’dan etkilentiği bildirilirken, Spectre Intel, AMD ve ARM işlemcilerde çalışan cihazları etkiliyor. Meltdown, ayrıcalıkların artırılma biçimiyle ilgilidir. Spectre ise, uygulamanın bellek alanına depolanabilen hassas verilere erişmeye imkan sağlar.
Olası etkiler çok kapsamlıdır: Güvenlik açıkları olan işlemciler üzerinde çalışan masaüstü bilgisayarlar, dizüstü bilgisayarlar ve akıllı telefonlar, yetkisiz erişime ve bilgi hırsızlığına maruz kalabilir. Bu işlemcileri kullanan tüm bulut sunucular, sanal ortamlar, çok kullanıcılı sunucular – veri merkezlerinde ve kurumsal ortamlarda da kullanılır – aynı riskleri taşımaktadır.
Ayrıca, Windows ve Linux işletim sistemleri için piyasaya sürülen düzeltme eklerinin, iş yüküne bağlı olarak sistem performansını yüzde beş ila yüzde 30 oranında azaltabileceğini de belirtmek gerekir.
Google’ın Project Zero’su, belirli yazılımlara karşı işe çalıştığı kanıtlanmış (PoC) güvenlik açıklarını ortaya koyuyor. Neyse ki Intel ve Google, bugüne kadar bu güvenlik açıklarını etkin şekilde kullanan saldırıların gerçekleştirilmediğini bildirdiler.
Düzeltilmiş mi?
Microsoft, Windows 10’daki bu güvenlik açıklarını gidermek için aylık düzeltme döngüsü öncesinde bir güvenlik bülteni ve tavsiye yayınladı. Windows 7 ve 8 için güncellemeler / düzeltmeler, 9 Ocak Salı günü Ocak Düzeltme Eki’nde dağıtılacaklar. Microsoft ayrıca, istemci ve sunucular için öneriler ve uygulanmış tavsiyeleri yayınladı.
Google, etkilenebilecek altyapılar / ürünler (YouTube, Google Reklamları, Chrome vb.) hakkında hafifletici önlemler yayınladı. Ayrıca, Meltdown ve Spectre bazlı saldırıları sınırlamak için, Android için güncellemeleri kapsayan bir Güvenlik Düzeltme Eki (SPL) yayınladılar. Android için ayrı bir güvenlik güncelleştirmesi de 5 Ocak’ta yayınlandı. Android’deki düzeltme ekinin parçalı olduğunu, bu nedenle cihaz kullanıcılarının üreticilerine kullanılabilirlik durumlarını bildirmeleri gerektiğini unutmayın. Nexus ve Pixel cihazları güncellemeyi otomatik olarak indirebilir.
Apple’ın macOS sürüm 10.13.2’de düzeltme yayınladığı, 64-bit ARM çekirdekleri de güncellendiği bildirildi. VMWare de kendi tavsiyelerini yayınladı. Tarayıcı tabanlı saldırıların mümkün olabileceğini doğrulayan Mozilla ekibi, Firefox 57 ‘deki güvenlik açıklarını ele aldı.