Sau báo cáo vào tháng 1 năm nay về lỗ hổng bảo mật Meltdown và Spectre ảnh hưởng đến bộ vi xử lý Intel, các nhà nghiên cứu bảo mật của Trend Micro đã tìm thấy 8 lỗ hổng mới.
Thời hạn 90 ngày đưa từ phía Google’s Project Zero kết thúc vào ngày 7 tháng 5 cũng là lúc mà Intel phải đưa ra các chi tiết và giải pháp kỹ thuật về những lỗ hổng bảo mật. Chuyên gia từ “biệt đội” an ninh mạng Project Zero của Google công bố về lỗ hổng bảo mật mới với tên gọi Spectre Next Generation hoặc Spectre NG, với cùng phương thức tấn công lỗ hổng Spectre trước đó. Bốn trong số các sai sót này được đánh giá mức độ rủi ro “cao”, phần còn lại được đánh giá với mức độ “trung bình”.
Mỗi lỗ hổng sẽ có mã số riêng của chúng trong thư mục Common Ennerator Enumerator (CVE). Các bản vá của Intel sẽ chia làm hai đợt với một bản vá vào tháng 5 và bản tiếp theo được cập nhật vào tháng 8 năm nay. Các nhà phát triển Linux đang làm việc để tìm ra biện pháp chống lại Spectre, trong khi Microsoft thì chuẩn bị bản vá lỗi cho những lỗ hổng nói trên mà họ sẽ phân phối như các bản cập nhật tùy chọn. Thêm vào đó, Microsoft đang triển khai chiến dịch thưởng cho người dùng cung cấp lỗi bảo mật với tiền thưởng lên đến 250.000 USD, trong đó có nhiều lỗi không liên quan đến Spectre. Các CPU RISC Machine (ARM) hiện đại từ ARM SoftBank của Nhật Bản được cho là cũng bị ảnh hưởng bởi những lỗ hổng mới này, trong khi đó cơ sở hạ tầng AMD vẫn đang được kiểm tra.
Spectre NG cũng tương tự như các lỗ hổng được vá trước đây, nó cho phép bên thứ ba trích xuất các thông tin quan trọng như mật khẩu được lưu trữ trong bộ nhớ. Tuy nhiên, biến thể mới này sẽ giúp đơn giản hóa các cuộc tấn công bằng cách chạy mã khai thách trên một máy chủ ảo (VM) và tấn công máy chủ hệ thống, hoặc các máy ảo đang chạy cùng trên hệ thống máy chủ đó.
Mặc dù trước đây người dùng cảm thấy hoang mang khi cập nhật các bản vá khiến hệ thống có thể làm chậm hiệu năng máy tính. Intel đã đưa ra tuyên bố giải quyết vấn đề và khuyến khích người dùng cập nhật hệ thống. Cũng giống như lỗ hổng Meltdown và Spectre vào tháng 1, người dùng vẫn nên thực hiện những khuyến nghị dưới đây của Trend Micro:
- Cập nhật firmware từ các nhà cung cấp đáng tin cậy và thường xuyên kiểm tra các bản cập nhật bảo mật.
- Tự tìm hiểu thực hiện với các thay đổi cấu hình cần thiết để bật tính năng bảo vệ thiết bị.
- Xác minh giải pháp bảo mật đã cài đặt hỗ trợ cho bản vá lỗi bảo mật hiện tại.
Khách hàng của Trend Micro được bảo vệ khỏi việc khai thác bằng lỗ hổng bảo mật Spectre thông qua bộ lọc MainlineDV dành cho người dùng cá nhân và doanh nghiệp.
Cập nhật sau ngày 7 tháng 5 năm 2018
Thông tin mới được đưa ra rằng Intel đã yêu cầu tạm hoãn việc đưa ra thông tin chi tiết kỹ thuật cũng như giải pháp khắc phục và dường như Google’s Project Zero cũng chấp nhận điều này. Do số lượng hệ thống bị ảnh hưởng lớn, công ty Intel đã gặp phải sự cố khi giải quyết các bản vá lỗi trong ngày 7 tháng 5 và dự kiến sẽ phát hành chi tiết hai biến thể mới nhất của Spectre NG vào ngày 21 tháng 5 hoặc ngày 10 tháng 7. Các hệ thống có khả năng bị ảnh hưởng bởi Spectre Next Generation bao gồm Core Processors, Xeon Spinoff, Pentium Atom, Atom và Celeron CPU được phát hành từ năm 2013. Lỗ hổng bảo mật ảnh hưởng đến máy tính để bàn, máy tính xách tay, điện thoại thông minh và các thiết bị cơ sở dữ liệu khác. Bản vá ngày 14 tháng 8 có khả năng sẽ giải quyết các lỗ hổng nghiêm trọng nhất ảnh hưởng đến môi trường điện toán đám mây. Intel được cho là đang phát hành các cải tiến về phần cứng cũng như phần mềm cho nhà sản xuất và cung cấp.