Intelin suorittimista paljastui vakava haavoittuvuus – suojauspäivitykset jo jakelussa

Spectre ja Meltdown -haavoittuvuudet suorittimissa keräsivät paljon huomiota reilu vuosi sitten.

Nyt Intelin vuoden 2011 jälkeen valmistetuista suorittimista on paljastunut uusi haavoittuvuus, jolle on annettu nimeksi ZombieLoad. Aiempien haavoittuvuuksien tavoin myös nyt paljastunut ZombieLoad perustuu suoritinten sisältämän ennakoivan, spekulatiivisen suorittamisen aukkojen hyödyntämiseen. Suorittimista on paljastunut neljä uutta virhettä, jotka voivat mahdollistaa hyökkääjälle tietojen lukemisen kaikista suorittimen käsittelemistä tiedoista.

Virheistä kerrottiin Intelille noin kuukausi sitten ja se on julkaissut jo suorittimiinsa mikrokoodipäivityksen, joka suojaa haavoittuvuudelta. Intelin mukaan suojauspäivitys leikkaa suorituskykyä 3 prosentilla.

Käyttöjärjestelmät saavat päivityksen suojaamaan haavoittuvuuden hyväksikäytöltä. Applen Mac-tietokoneita haavoittuvuudelta suojaa tällä viikolla julkaistu macOS 10.14.5. Myös Microsoft on jo aloittanut jakamaan suojaavia päivityksiä Windows-käyttöjärjestelmälle. Google teki osittaisen suojauksen Chrome OS 74:ssä ja tuleva Chrome OS 75 parantaa vielä suojausta.

Toisin kuin aiemmat suoritinhaavoittuvuudet, uusin ZombieLoad rajoittuu vain Intelin suorittimiin. Esimerkiksi AMD:n sekä mobiililaitteiden ARM-pohjaiset suorittimet eivät ole haavoittuvia tällä kertaa.

Lisäksi ZombieLoad-haavoittuvuuden hyödyntäminen ei ole aivan yksinkertaista, vaan vaatii jälleen merkittävää osaamista. Uuden haavoittuvuuden käyttämisen hyökkäykseene kerrotaan olevan helpompaa kuin Spectren mutta vaikeampaa kuin Meltdownin.