ช่องโหว่ Meltdown และ Spectre ในชิปอาจทำให้ข้อมูลในหน่วยความจำรั่วไหล ส่งผลกระทบต่อโปรเซสเซอร์ส่วนใหญ่บนทุกระบบปฏิบัติการ

ข่าวประชาสัมพันธ์ » อังคาร 16 มกราคม 2561 16:31 น.

          ไซแมนเทคเปิดเผยรายงานการตรวจพบดังต่อไปนี้สำหรับการพยายามใช้ช่องโหว่เพื่อเจาะข้อมูลบนฮาร์ดแวร์ของซีพียู (CVE-2017-5753/Spectre):
          ช่องโหว่ที่เพิ่งค้นพบส่งผลกระทบต่อโปรเซสเซอร์ และอาจเปิดโอกาสให้ผู้โจมตีเข้าถึงหน่วยความจำของคอมพิวเตอร์โดยไม่ได้รับอนุญาต ช่องโหว่ดังกล่าวซึ่งมีชื่อว่า Meltdown และ Spectre ส่งผลกระทบต่อโปรเซสเซอร์รุ่นใหม่เกือบทั้งหมด และสามารถแก้ไขได้ด้วยการติดตั้งแพตช์ของระบบปฏิบัติการเท่านั้น
          1ในบรรดาช่องโหว่ทั้งสองนี้ Meltdown นับเป็นภัยคุกคามที่ร้ายแรงที่สุด เพราะใช้งานง่าย และส่งผลกระทบต่อคอมพิวเตอร์ทุกประเภท รวมถึงคอมพิวเตอร์ส่วนบุคคล และเวอร์ช่วลแมชชีน (Virtual Machine) ในระบบคลาวด์ แต่เท่าที่ไซแมนเทครับรู้ ช่องโหว่ทั้งสองยังไม่ได้ถูกใช้งานอย่างแพร่หลาย
          ช่องโหว่เหล่านี้มีความสำคัญอย่างมาก เพราะอาจเปิดโอกาสให้คนร้ายเข้าถึงข้อมูลสำคัญ เช่น รหัสผ่าน อย่างไรก็ตาม ในการเจาะระบบคอมพิวเตอร์ที่มีช่องโหว่ คนร้ายจะต้องเข้าถึงคอมพิวเตอร์เป้าหมายผ่านขั้นตอนเบื้องต้น นั่นคือ จะต้องรันโปรแกรมอันตรายบนคอมพิวเตอร์เครื่องนั้น โดยใช้คำสั่ง JavaScript ที่เรียกใช้โปรแกรมดังกล่าวเพื่อให้รันเป็นโค้ดแบบเนทีฟ หรือรัน JavaScript เพื่อเชื่อมโยงเคอร์เนล ผลิตภัณฑ์ของไซแมนเทคสามารถสกัดกั้นกิจกรรมอันตรายทั้งหมดนี้ อย่างไรก็ตาม ขอแนะนำให้ผู้ใช้ติดตั้งแพตช์ของระบบปฏิบัติการโดยเร็วที่สุด
          ทั้ง Meltdown และ Spectre ใช้จุดบกพร่องในโปรเซสเซอร์เพื่อหลบเลี่ยงการแยกหน่วยความจำในระบบปฏิบัติการ ทั้งนี้ระบบปฏิบัติการถูกออกแบบมาเพื่อป้องกันไม่ให้โปรแกรมหนึ่งเข้าถึงหน่วยความจำที่กำลังถูกใช้งานโดยอีกโปรแกรมหนึ่ง ถ้าหากการแยกหน่วยความจำไม่ทำงาน โปรแกรมอันตรายก็จะสามารถขโมยข้อมูลจากหน่วยความจำที่กำลังถูกใช้งานโดยโปรแกรมอื่นๆ
"ช่องโหว่ #Meltdown และ #Spectre อาจนำไปสู่การโจมตีที่อันตรายที่สุดต่อบริการ #คลาวด์ symc.ly/2E6O73U"
          Meltdown คืออะไร
          Meltdown (CVE-2017-5754) ใช้ประโยชน์จากจุดบกพร่องในการทำงานแบบไม่เรียงลำดับ (out-of-order execution) ซึ่งเป็นฟีเจอร์ด้านประสิทธิภาพที่พบในโปรเซสเซอร์รุ่นใหม่จำนวนมาก กลุ่มนักวิจัยที่ค้นพบช่องโหว่นี้ยืนยันว่า Meltdown ส่งผลกระทบต่อโปรเซสเซอร์ทั้งหมดของ Intel ที่วางจำหน่ายตั้งแต่ปี 2538 เป็นต้นมา (ยกเว้นโปรเซสเซอร์ Intel Itanium และ Intel Atom รุ่นก่อนปี 2556) อย่างไรก็ดี ยังไม่ชัดเจนว่าโปรเซสเซอร์ ARM และ AMD ได้รับผลกระทบจากช่องโหว่ดังกล่าวด้วยหรือไม่
          หากใช้ช่องโหว่ดังกล่าวได้สำเร็จ ผู้โจมตีก็จะสามารถคัดลอกตำแหน่งพื้นที่เคอร์เนลทั้งหมด รวมถึงหน่วยความจำทางกายภาพที่ถูกแม็ปเข้าด้วยกัน หรือกล่าวอีกอย่างหนึ่งก็คือ ข้อมูลทั้งหมดที่เก็บไว้ในหน่วยความจำในขณะที่ทำการโจมตี
          ทั้งนี้ สามารถใช้ Meltdown ได้ไม่ว่าคอมพิวเตอร์จะใช้ระบบปฏิบัติการอะไรก็ตาม โดยส่งผลกระทบทั้งต่อคอมพิวเตอร์ทั่วไปและคอมพิวเตอร์ที่โฮสต์บริการคลาวด์ ซึ่งนั่นหมายความว่าการโจมตีเซิร์ฟเวอร์หนึ่งเครื่องอาจส่งผลกระทบต่อ Virtual Machine หลายเครื่องที่รันอยู่บนเซิร์ฟเวอร์ดังกล่าว
          การโจมตีบริการคลาวด์น่าจะเป็นกรณีที่น่าเป็นห่วงมากที่สุด เพราะ Meltdown สามารถใช้เจาะระบบ Virtual Machine เพื่อเข้าถึงหน่วยความจำจากเครื่องโฮสต์ ผู้โจมตีอาจซื้อพื้นที่บนบริการคลาวด์ที่มีช่องโหว่ และใช้เป็นฐานสำหรับโจมตีลูกค้ารายอื่นๆ บนโฮสต์เครื่องเดียวกัน
          Spectre คืออะไร
          Spectre (CVE-2017-5753 และ CVE-2017-5715) ให้ผลลัพธ์ที่คล้ายคลึงกัน แต่ทำงานในลักษณะที่แตกต่างกันเล็กน้อย โดยใช้ประโยชน์จากจุดบกพร่องในการออกแบบโปรเซสเซอร์ เพื่อล่อหลอกโปรแกรมให้ปล่อยข้อมูลที่จัดเก็บไว้ในหน่วยความจำ
          ทีมงานที่ค้นพบ Spectre ระบุว่า โปรเซสเซอร์รุ่นใหม่ทั้งหมดได้รับผลกระทบจากช่องโหว่นี้ รวมถึงโปรเซสเซอร์ของ Intel, AMD และ ARM ไม่ว่าจะทำงานกับระบบปฏิบัติการชนิดใดก็ตาม
          การแก้ปัญหา
          ขอแนะนำให้ผู้ใช้ติดตั้งแพตช์สำหรับระบบปฏิบัติการในทันที โดยมีการเผยแพร่แพตช์แล้วสำหรับ Microsoft Windows, Apple macOS และ Linux เพื่อแก้ไขช่องโหว่ Meltdown ส่วนช่องโหว่ Spectre นั้น มีรายงานว่าแก้ไขได้ยากกว่า แต่ก็โจมตีได้ยากกว่าเช่นกัน และกำลังมีการดำเนินการเพื่อเสริมสร้างความแข็งแกร่งให้กับซอฟต์แวร์และป้องกันการโจมตี
          ผู้ผลิตระบบปฏิบัติการได้แจ้งเตือนว่า การติดตั้งแพตช์อาจส่งผลกระทบด้านประสิทธิภาพต่อคอมพิวเตอร์ ทั้งนี้ Microsoft ระบุว่าผลกระทบมีน้อยมากจนอาจไม่สังเกตเห็นบนอุปกรณ์ของผู้ใช้ทั่วไป แต่ผลกระทบที่เฉพาะเจาะจง "จะแตกต่างกันไป ขึ้นอยู่กับรุ่นของฮาร์ดแวร์ และการติดตั้งโดยผู้ผลิตชิป" นักพัฒนาแพตช์ Linux ระบุว่าประสิทธิภาพโดยเฉลี่ยอาจลดลง 5 เปอร์เซ็นต์ แต่ก็พบกรณีที่ประสิทธิภาพลดลง 30 เปอร์เซ็นต์ด้วยเช่นกัน

ข่าวระบบปฏิบัติการ+โปรเซสเซอร์วันนี้

QNAP เปิดตัว ZFS NAS รุ่น TVS-hx74 ที่รองรับ 2.5GbE มาพร้อมโปรเซสเซอร์ 12th Gen Intel Core แบบมัลติเธรดสำหรับการจำลองคอมพิวเตอร์เสมือน

QNAP(R) Systems, Inc. ผู้คิดค้นโซลูชันการประมวลผล เครือข่าย และการจัดเก็บข้อมูลชั้นนำ เปิดตัว NAS ซีรีส์ TVS-hx74 QuTS hero ประสิทธิภาพสูง ครอบคลุมรุ่น TVS-h474 แบบ 4 เบย์, TVS-h674 แบบ 6 เบย์, และ TVS-h874 แบบ 8 เบย์ โดยมาพร้อมโปรเซสเซอร์ 12th Gen Intel(R) Core(TM) แบบมัลติเธรด/คอร์ อุปกรณ์ทำงานด้วยระบบปฏิบัติการ QuTS hero บน ZFS รับประกันความสมบูรณ์ของข้อมูลและสนับสนุนการลบข้อมูลซ้ำซ้อนและการบีบอัดข้อมูลแบบอินไลน์ สแนปช็อตจำนวนมหาศาล และ SnapSync แบบเรียลไทม์ พร้อมด้วยความสามารถในการขยาย PCIe

30 พฤศจิกายน 2565 08:00 น.

Handheld ประกาศอัปเกรด “NAUTIZ X2” คอมพิวเตอร์ออลอินวันพันธุ์อึดรุ่นยอดนิยม

Handheld Group ผู้นำด้านการผลิตคอมพิวเตอร์พกพาสุดทนทาน ประกาศอัปเกรดคอมพิวเตอร์พกพาสำหรับการใช้งานในองค์กรรุ่น Nautiz X2 โดยมีการใช้โปรเซสเซอร์รุ่นใหม่ เพิ่มเมมโมรี และอัปเกรดระบบปฏิบัติการ เพื่อพลิกโฉม Nautiz X2 ให้... ก.ค. 63

สุดยอดศึกหุ่นยนต์อัจฉริยะ Thailand Open ROS and Smart Robot Competition 2025 ปิดฉากสุดมันส์ เยาวชนไทยโชว์ศักยภาพก้าวสู่เวทีโลก — การแข่งขัน Thailand Open ... 11 เม.ย.

OutSystems ยกระดับระบบสยามคูโบต้าเพื่อขับเคลื่อนนวัตกรรมการเกษตร — ด้วยแพลตฟอร์ม Low Code ที่ขับเคลื่อนด้วย AI ของ OutSystems สยามคูโบต้าสามารถพัฒนาแอปพลิ... 20 มี.ค.

PLANET ปักธงปี 68 ชู 6 กลยุทธ์ เจาะตลาดสินค้า New S Curve มุ่ง Digital go Green เต็มตัว ตั้งเป้า ผลงานพลิกเป็นกำไร — PLANET ปักธงปี 68 มุ่งเน้น นำเทคโนโล... 18 มี.ค.

HIP เครื่องสแกนลายนิ้วมือรุ่น Ci690S สุดคุ้ม ฟังก์ชันครบจบในเครื่องเดียว — บมจ. เอสไอเอส ดิสทริบิวชั่น (ประเทศไทย) ตัวแทนผู้นำเข้าและจำหน่ายสินค้าไอทีที่ใ... 27 ม.ค.

ซีพี แอ็กซ์ตร้า ยกระดับศักยภาพด้านดิจิทัล ลงนามความร่วมมือกับเทนเซ็นต์ คลาวด์ — ซีพี แอ็กซ์ตร้า ยกระดับศักยภาพด้านดิจิทัล ลงนามความร่วมมือกับเทนเซ็นต์ คลา... 24 ม.ค.

ซัมซุง ปล่อยอัปเดต One UI 7 Beta เวอร์ชันใหม่ เผยโฉมอนาคต AI บนสมาร์ทโฟนสุดล้ำ ที่เข้าใจทุกความต้องการ — One UI 7 จะเป็นแพลตฟอร์มที่ขับเคลื่อนด้วย AI อย่า... 07 ธ.ค.

แคสเปอร์สกี้พบแคมเปญร้ายไซเบอร์ระลอกใหม่ มุ่งโจมตีผู้ใช้ด้วย CAPTCHA ปลอม และคำแจ้งเตือนปลอมบน Chrome — แคสเปอร์สกี้ (Kaspersky) ค้นพบแคมเปญภัยไซเบอร์รูปแ... 11 พ.ย.

การ์ทเนอร์คาดการณ์ ปี 2568 ยอดการจัดส่ง AI PCs ทั่วโลกจะคิดเป็น 43% ของยอดจัดส่ง PC ทั้งหมด — ภายในปี 2569 จะเหลือเพียง Al Laptops เป็นตัวเลือกเดียวของ La... 17 ต.ค.