Ancak beş Intel CPU alıcısının açtığı dava, Kayıt, Team Blue’nun AVX yan kanal güvenlik açığının 2018’den bu yana farkında olduğunu iddia ediyor The Register’ın raporu Downfall’ın varlığının aslında beş yıl önce nasıl başladığını şu şekilde özetliyor:
Şikayette, Intel’in Spectre ve Meltdown ile uğraştığı 2018 yazında üreticinin, üçüncü taraf araştırmacılardan mikroişlemci titanının Intel CPU’ya izin veren Gelişmiş Vektör Uzantıları (AVX) talimat setinin güvenlik açığı konusunda uyardığı iki ayrı güvenlik açığı raporu aldığı belirtiliyor Ancak henüz bir sonuca varmamak lazım çünkü ‘masumiyeti kanıtlanana kadar suçludur’ derler
Bu gizli arabellekler, CPU önbelleğinde bırakılan yan etkilerle birleştiğinde, Intel’in CPU’larında bir arka kapıya eşdeğer bir şey açarak, bir saldırganın Gelişmiş Şifreleme Standardı (‘AES) için kullanılan şifreleme anahtarları da dahil olmak üzere hassas bilgileri bellekten kolayca elde etmek için AVX talimatlarını kullanmasına olanak tanıdı Çekirdeklerin aynı anda birden fazla veri parçası üzerinde işlem gerçekleştirmesi ve performansı artırması, diğer iki ciddi kusurla aynı sınıftaki yan kanal saldırılarına karşı savunmasızdı Daha önce de belirtildiği gibi güvenlik açığı özellikle AVX2/AVX-512 toplama talimatlarını kullanan iş yüklerini etkiliyor “Downfall”ı açıklayan Intel, eski nesil Tiger Lake/Ice Lake serileri üzerinde daha büyük bir etki yarattı Bu, sorunu çözmek yerine, veri hırsızlığı gibi saldırılara yol açan sorunun oluşumunu artırdı
Dosyayı hazırlayanların öne sürdüğü argüman, Intel’in bu “boşluğun” uzun süredir farkında olduğunu ve şirketin, bu boşluğun potansiyel varlığını beş yıl önce bilmesine rağmen bunu düzeltmek için hiçbir çaba göstermediğini ortaya koyuyor Basit bir ifadeyle, güvenlik açığı donanım kayıt defteri içeriğini açığa çıkarıyor ve potansiyel olarak büyük ölçekli veri hırsızlıklarına yol açıyor ‘) şifreleme – Intel’in Spectre ve Meltdown’dan sonra düzelttiği varsayılan tasarım kusurundan yararlanılarak
Intel, çip üreticisinin Çöküş güvenlik açıklarından haberdar olduğunu ve hala piyasada çip sattığını iddia ederek tüketiciler tarafından bir davaya sürüklendi Sektördeki güvenlik açığı oldukça yaygın bir durum olduğundan, şirketin hatası olarak görülmüyor ve çoğu zaman hafifletme hızla uygulanıyor Üstelik Intel’in bu talimatlarla ilgili “gizli tamponlar” uyguladığı ve bunların temel olarak güvenlik açığı tehditlerini geçici bir süreliğine bastırmayı amaçladığı söyleniyor Üstelik şirket, Downfall keşfedilene kadar mimarideki döngüyü düzeltme eğiliminde olmadı; bu yalnızca milyonlarca kullanıcının güvenliğini riske atmakla kalmadı, ancak güvenlik açığının ardından performansta yüzde 50’lik bir düşüş yaşandı
Intel iddialara henüz yanıt vermedi, ancak bunlar şirkete karşı bazı ciddi iddialar çünkü Team Blue’nun mimarilerindeki potansiyel arka kapılar ve boşluklardan “rahatsız” olduğunu ve bu durumun hem tüketicileri hem de işletmeleri riske attığını gösteriyor
Haber kaynağı: Kayıt
Bu hikayeyi paylaş
heyecan
genel-17
Davaya geçmeden önce Çöküşün ne olduğunu özetleyelim