February 19, 2018

Language:

CamSA18-03: សូមប្រុងប្រយ័ត្នចំពោះចំនុចខ្សោយដែលរកឃើញនៅលើ CPUs

ប្រវតិ្តនៃបញ្ហា

កាលពីថ្ងៃទី០៣ ខែមករា​ ឆ្នាំ២០១៨ ក្រុមនៃអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន​ បានបញ្ចេញនូវការរកឃើញចំនុចខ្សោយធ្ងន់ធ្ងរចំនួនពីរ (two critical vulnerabilities) ដែលត្រូវបានដាក់ឈ្មោះថា “Meldown”​ និង “Spectre” ។ ចំនុចខ្សោយទាំងពីរនេះមានផលប៉ៈពាល់ទៅលើកុំព្យូទ័រលើតុ ស្មាតហ្វូន ឧបរករណ៍ចល័ត​ (tablets) និងសេវាកម្មក្លោដ​ (cloud services)។ ចំនុចខ្សោយទាំងនេះ អាចអនុញ្ញាតឲ្យអ្នកវាយប្រហារធ្វើការលួចទិន្នន័យទាំងឡាយណាដែលដំណើរការដោយកុំព្យូទ័រ។

Meltdown ដែលមានលេខកូដសំគាល់  (CVE-2017-5754) អនុញ្ញាតឲ្យអ្នកវាយប្រហារធ្វើការរំលង​ (bypass) ព្រំដែនសន្តិសុខរវាងកម្មវិធីអ្នកប្រើប្រាស់និងប្រព័ន្ធប្រតិបត្តិការ ដែលអាចឲ្យមានការអាក់សេសទៅលើព័ត៌មានចេញពីអង្គចងចាំរបស់ប្រព័ន្ធប្រតិបត្តិការ ដែលក្នុងនោះរួមមានទាំងទិន្នន័យសំខាន់ៗ​ (sensitive data) នៅក្នុងកម្មវិធីដទៃទៀតផងដែរ។ ក្នុងខណៈពេលនេះគឺមានតែ Intel processors ប៉ុណ្ណោះដែលរងគ្រោះដោយបញ្ហានេះ។

ចំណែកឯ Spectre ដែលមានលេខកូដសំគាល់ (CVE-2017-5753 & CVE-2017-5715) គឺមានផលប៉ៈពាល់ទៅលើ processors របស់ Intel, AMD និង ARM ហើយដែលអាចអនុញ្ញាតឲ្យអ្នកវាយប្រហារធ្វើការបញ្ជោតទៅលើកម្មវិធីដើម្បីបញ្ចេញ (leak) ទិន្នន័យនានារបស់កម្មវិធីនោះ ។

ផលប៉ៈពាល់ទៅលើផលិតផល

ខាងក្រោមនេះគឺជាបញ្ជីផលិតផលដែលទទួលរងគ្រោះដោយសារបញ្ហាទាំងពីរខាងលើនេះ៖

ផលប៉ៈពាល់

ការវាយលុកដោយជោគជ័យទៅលើ CPU  ដែលរងគ្រោះ អាចអនុញ្ញាតឲ្យអ្នកវាយប្រហារធ្វើការអាន និងអាក់សេសព័ត៌មានសំងាត់ (confidential information) ដែលមានដូចជាពាក្យសម្ងាត់ ដែលនឹងអាចឈានទៅដល់ការគ្រប់គ្រងទាំងស្រុងទៅលើកុំព្យូទ័រ ម៉ាស៊ីនមេ ឬបណ្តាញណេតវើកទាំងមូល  ។

អនុសាសន៍

ដំណោះស្រាយដើម្បីឆ្លើយតបទៅនឹងបញ្ហានេះគឺយើងត្រូវធ្វើការអាប់ដេតទៅលើ firmware ។ ក្រុមហ៊ុនដូចជា Intel និង Microsoft បានមានការញាប់ដៃញាប់ជើងបញ្ចេញកូនកម្មវិធី (patch) ដើម្បីជួសជុលកំហុសឆ្គងនេះ​ ។

ការិយាល័យឆ្លើយតបបញ្ហាបន្ទាន់នៃកុំព្យូទ័រ​ (CamCERT) សូមផ្តល់អនុសាសន៍ឲ្យអ្នកប្រើប្រាស់ធ្វើការតាមដានព័ត៌មានដែលពាក់ព័ន្ធទៅនឹងផលិតផលរបស់ខ្លួនកំពុងប្រើប្រាស់ ហើយធ្វើការអាប់ដេតវាឲ្យបានលឿនតាមតែអាចធ្វើទៅបាន។

ព័ត៌មានយោងបន្ថែមៈ
References

https://www.theverge.com/2018/1/3/16844630/intel-processor-security-flaw-bug-kernel-windows-linux
https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/
https://www.pcworld.com/article/3245606/security/intel-x86-cpu-kernel-bug-faq-how-it-affects-pc-mac.html
https://meltdownattack.com/
http://www.zdnet.com/article/security-flaws-affect-every-intel-chip-since-1995-arm-processors-vulnerable/#ftag=RSSbaffb68