חולשות חדשות נמצאו במעבדים מובילים

סאגת החולשות במעבדים שהחלה ביוני 2017 מסרבת לדעוך. החשש מהחולשות שנמצאו במעבדים מובילים והטיפול הלקוי בהן מול הממשל האמריקאי הבשילו לדיון בועדת המסחר, המדע והתחבורה של הסנאט. עד לאחרונה פורסמו שש גרסאות שונות לחולשות אלו.

לאחרונה, שני חוקרים פרסמו שתיים נוספות. חולשה אחת בשם Spectre1.1 ו-Spectre1.2. הראשונה  גורמת לbuffer overflows במעבד ומאפשרת להריץ תוכנה של התוקף. השניה מאפשרת לכתוב למעבד למרות שהוא מוגדר לקריאה בלבד. לשתי החולשות החדשות אין פתרון בינתיים.

גוגל מצדה הוציאה עדכון חדש לדפדפן (צריך להפעיל ידנית) שאמור לטפל באיומים מצד משפחות החולשות הללו. ליכולת החדשה ניתן השם site isolation.  בהפשטה, היכולת החדשה בדפדפן מאפשרת בידול בין גלישה באתרים שונים. בעוד דפדפן אמור למנוע מאתר אחד להגיע לנתוני גלישה באתר אחר, החולשות במעבדים מאפשרות זליגה בין תהליכים שונים במערכת ההפעלה שלא אמורה להיות. "המטרה שלנו היא להבטיח כי תהליך עיבוד יהיה מוגבל להכיל דפים מלכל היותר אתר אינטרנט אחד", כותבים בגוגל.

אין ספק כי החולשות שנמצאו במעבדים מובילים שמים את מערך הגנה המידע בסימן שאלה גדול היות והאקר יכול להזליג מידע בין תהליכים במעבד או להריץ תהליכים שלו במעבד 'מתחת' לכל המרכיבים במערך הגנת המידע של הארגון. בינתיים, המורכבות ביישום החולשה היא קו ההגנה האחרון של יצרניות המעבדים.