Theo suy đoán của những nhà nghiên cứu đã tiết lộ lỗ hổng Meltdown và Spectre trong bộ vi xử lý Intel, thì một số bộ vi xử lý của Intel sẽ không nhận được bản vá lỗi cho cuộc tấn công phân tích kênh kề (side-channel analysis attack) Spectre (V2). Trong hướng dẫn sửa đổi vi mã (microcode) gần đây, Intel thừa nhận không thể fix lỗ hổng Spectre trong các CPU cũ của hãng vì quá trình đó đòi hỏi phải thay đổi kiến ​​trúc bộ vi xử lý để giảm thiểu tối đa những vấn đề về lỗ hổng. 

Nhà sản xuất chip đã tạm thời dừng quy trình sản xuất của 9 dòng sản phẩm, bao gồm: Bloomfield, Clarksfield, Gulftown, Harpertown Xeon, Jasper Forest, Penryn, SoFIA 3GR, Wolfdale và Yorkfield.

Intel thừa nhận không thể fix lỗ hổng Spectre (V2) trong một số bộ vi xử lý
Intel đã tạm thời dừng sản xuất một số sản phẩm bị ảnh hưởng bởi lỗ hổng Spectre (V2)

Những dòng chip dễ bị tấn công thường là sản phẩm cũ, được bán trên thị trường từ năm 2007 đến năm 2011. Các dòng chip này sẽ không còn nhận được cập nhật vi mã (microcode) nữa. Điều đó đồng nghĩa với việc hơn 230 mô hình bộ vi xử lý Intel trên hàng triệu máy tính và thiết bị di động sẽ trở thành đối tượng dễ bị tấn công bởi tin tặc.

Theo hướng dẫn sửa đổi, “sau khi điều tra toàn diện kiến ​​trúc vi mô và khả năng vi mã của những sản phẩm này, Intel đã xác định không phát hành bản cập nhật vi mã cho chúng nữa vì một hoặc nhiều lý do.”

Intel thừa nhận không thể fix lỗ hổng Spectre (V2) trong một số sản phẩm bị ảnh hưởng vì ba lý do chính sau:

  • Các đặc điểm kiến ​​trúc vi mô ngăn cản quá trình thực hiện các tính năng giảm nhẹ V2 (CVE-2017-5715)
  • Giới hạn sự hỗ trợ của phần mềm hệ thống sẵn có trên thị trường
  • Dựa vào input của khách hàng, phần lớn các sản phẩm này được thực hiện dưới dạng “các hệ thống khép kín” và do đó chúng được mong đợi có khả năng tiếp xúc thấp hơn với những lỗ hổng này.

Lỗ hổng Spectre V2 (CVE-2017-5715) ảnh hưởng đến các hệ thống mà trong đó các bộ vi xử lý sử dụng thực thi suy đoán (speculative execution) và dự báo nhánh gián tiếp (indirect branch prediction). Điều này cho phép một chương trình độc hại đọc các thông tin nhạy cảm, chẳng hạn như mật khẩu, khoá mã hóa, hoặc đánh cắp thông tin nhạy cảm, bao gồm của cả hạt nhân, thông qua việc sử dụng cuộc tấn công phân tích kênh kề (side-channel analysis attack).

Tuy nhiên, những bộ vi xử lý này có thể cài đặt bản cập nhật vi mã (microcode) pre-mitigation để giảm bớt sự ảnh hưởng của các lỗ hổng V1 (Spectre) và V3 (Meltdown).

Bên cạnh việc Intel thừa nhận không thể fix lỗ hổng Spectre (V2), thì bộ vi xử lý Ryzen và EPYC của AMD đang phải đối mặt với sự ảnh hưởng nghiêm trọng của 13 lỗ hổng. Những lỗ hổng này cho phép kẻ tấn công truy cập trái phép vèo dữ liệu nhạy cảm, cài đặt phần mềm độc hại dai dẳng bên trong chip và có quyền truy cập vào các hệ thống bị xâm nhập.

AMD đã thừa nhận các lỗ hổng được báo cáo và hứa sẽ đưa ra bản vá lỗi firmware cho hàng triệu thiết bị bị ảnh hưởng trong vài tuần tới.

Tuy nhiên, CTS Labs – công ty an ninh đã phát hiện và tiết lộ về các lỗ hổng, tuyên bố rằng AMD có thể mất vài tháng để phát hành bản vá lỗi cho hầu hết các vấn đề bảo mật, trong đó một số lỗi không thể khắc phục được ngay.

Bình luận