הגן על ה-Mac שלך מפני פגיעויות ביצוע ספקולטיביות כמו ZombieLoad

ישנה פגיעות ביצוע ספקולטיבית חדשה שמשפיעה על מכשירי Mac. וכמו פגיעויות בעבר באותה צורה, יש לו שם מפחיד: ZombieLoad.

אבל קל ללכת לאיבוד במערבולת התקשורת שמסקרת את ZombieLoad, במיוחד מכיוון שאתה אולי לא יודע איך או למה זה יכול להיות מסוכן לך.

תוכן

    • קָשׁוּר:
  • מה זה ZombieLoad?
    • איך ZombieLoad יכול להשפיע עליך?
    • על אילו מכשירים משפיע ZombieLoad?
    • מה לגבי מכונות ישנות יותר?
  • כיצד להגן על עצמך מפני ZombieLoad
    • תוכן ומגבלות תיקון
    • טכניקות אבטחה אחרות
    • הקלה מלאה
    • פוסטים קשורים:

קָשׁוּר:

  • אפל תנפיק תיקונים עבור פגם שבב 'ספקטר' בתוך ימים
  • תיקון Spectre יכול להאט את ביצועי iOS, Safari (ומה אתה יכול לעשות בקשר לזה)
  • אפל משחררת את תיקון האבטחה של Meltdown עבור סיירה ואל קפיטן

עם זאת בחשבון, הנה כל מה שאתה צריך לדעת על ZombieLoad ופגיעויות ביצוע ספקולטיביות אחרות - כולל איך להגן על עצמך.

מה זה ZombieLoad?

ZombieLoad
הפגיעות של ZombieLoad מסוכנת בגלל ההיקף שלה ומה שהיא מסוגלת לעשות.

ZombieLoad, או הפגיעות של Microarchitectural Data Sampling (MDS), היא ליקוי אבטחה חמור שהתגלה בארכיטקטורת ערכת השבבים של אינטל. ליתר דיוק, מדובר בפגיעות ביצוע ספקולטיבית - בדומה לליקוי האבטחה הדומה ל- Spectre ו- Meltdown שהתגלו ב-2018.

פרצות ביצוע ספקולטיביות כמו ZombieLoad מנצלות את הפגמים בארכיטקטורת המעבד. הם לא פגמי תוכנה.

גרוע מכך, הם מנצלים מנגנונים ורכיבים ספציפיים בתוך חומרת המחשב שתוכננו בכוונה להפוך את המחשבים למהירים יותר. בגלל זה, הגנה מלאה מפניהם יכולה להפחית את ביצועי המעבד.

ZombieLoad, למשל, עובד על ידי טעינת קבוצה גדולה של זבל או נתוני "זומבי" למעבד. לאחר מכן על המעבד למשוך משאבים נוספים כדי להתמודד עם העומס, מה שעלול להוביל לדליפת נתונים.

כדי להיות ברור, ZombieLoad ופגיעויות אחרות כמו זה אינן סיכוני אבטחה "לעבור". זה אומר שעליך להתקין אפליקציה זדונית או לגשת לאתר עם קוד JavaScript זדוני כדי שהפגיעות תעבוד.

ובכל זאת, זהו חור אבטחה רציני ועליכם לנקוט בצעדים כדי לתקן אותו בהקדם האפשרי - במיוחד אם אתם עוסקים בנתונים רגישים.

איך ZombieLoad יכול להשפיע עליך?

פרצות ביצוע ספקולטיביות הן מסוכנות מכיוון שהן עלולות לסכן או לדלוף את הנתונים הפרטיים שלך.

בגלל ארכיטקטורת המעבד שהם מנצלים, ZombieLoad ופגיעויות דומות יכולות לאפשר לתוקף לגשת לכל נתונים המאוחסנים בזיכרון המערכת.

זה יכול לכלול נתונים כמו סיסמאות וכתובות דוא"ל. זה יכול לכלול גם מידע רגיש במיוחד כמו נתונים פיננסיים או מספרי תעודת זהות.

חוקרים שגילו את ZombieLoad הרכיבו את א התקפה של הוכחת מושג להדגים למה הפגם מסוגל. הסרטון מציג כיצד תוקף יכול לגשת לכל אתר ואתר בו משתמש מבקר.

ברור, זה יכול לומר שניתן לאסוף נתונים מסוכנים כמו מפתחות הצפנה, אסימוני אבטחה וסיסמאות גם ממשתמש.

על אילו מכשירים משפיע ZombieLoad?

ZombieLoad ופגיעות ביצוע ספקולטיביות אחרות מסוכנות בגלל היקפן. ZombieLoad, במיוחד, משפיע על כל מכשיר בודד עם מעבד אינטל מתוצרת 2011 או מאוחר יותר.

הפגם הוא אגנוסטי של מערכת ההפעלה, כלומר זה יכול להשפיע על מכשירים המריצים Windows, Linux, macOS, או אפילו מערכות הפעלה מיוחדות.

לגבי אילו מכשירי Mac מושפעים, אפל מציינת את זה ZombieLoad משפיע על כל מכשיר Mac שנוצר לאחר 2011. זה כולל MacBooks, iMacs, Mac minis ו-Mac Pro.

מה לגבי מכונות ישנות יותר?

למזלם של משתמשי מקינטוש שנעשו לפני 2011, ZombieLoad לא יוכל להשפיע על המחשבים הללו. אבל מעבדי אינטל ב-2010 ומחשבי Mac קודמים עדיין עשויים להיות מועדים לפגיעות ביצוע ספקולטיביות בעתיד.

ולמרבה הצער, מכיוון שאינטל מפגרת בשחרור עדכוני מיקרוקוד למעבדים הללו, אפל לא תוכל לתקן את הפגיעויות הללו אם וכאשר הן יימצאו.

כיצד להגן על עצמך מפני ZombieLoad

MacBook Pro macOS
ישנם מספר צעדים שאתה יכול - וצריך - לנקוט כדי להגן על עצמך מפני ZombieLoad.

למרבה המזל, אפל כבר הקדימה את המשחק כשהחדשות על ZombieLoad התפרסמו השבוע. החברה הנפיקה מגוון של תיקוני תוכנה הכוללים אמצעי מניעה מפני פגיעות הביצוע הספקולטיבית.

זה כולל תיקון תוכנה ב-macOS 10.14.5, כמו גם עדכוני אבטחה משלימים עבור משתמשים שעדיין מריצים את macOS High Sierra ו-macOS Sierra.

עליך להוריד את macOS 10.14.5 בהקדם האפשרי. ישנם גם תיקוני תוכנה לעדכון אבטחה 2019–003 עבור High Sierra ו-Sierra.

תוכן ומגבלות תיקון

התיקון מכיל תיקון שמחזק את הסיכון של קוד זדוני באתרי אינטרנט, בין אם JavaScript או אחר.

אבל התיקון הזה חל רק על ספארי. אם אתה משתמש בדפדפן אינטרנט אחר, כמו Google Chrome או Mozilla Firefox, תצטרך ליישם תיקונים עבור הפלטפורמות הללו.

בעוד שפיירפוקס עובד כעת על תיקון, גוגל כרום הצהיר שהתיקון שלו לא יעשה שום דבר נגד ZombieLoad. בשל כך, Chrome ממליץ למשתמשים להסתמך עליו אמצעי אבטחה מבוססי מערכת הפעלה.

בשל העובדה שכרגע אין ל-Chrome תיקון, אנו ממליצים למשתמשים לעבור ל-Safari אם הם מתמודדים עם נתונים רגישים או סודיים.

טכניקות אבטחה אחרות

קוד אתר זדוני אינו הדרך היחידה שבה ZombieLoad יכול למקד את ה-Mac שלך. גם אפליקציות המותקנות במחשב שלך יכולות לנצל את הפגיעות.

אמנם עליך להוריד אפליקציות ביודעין ל-macOS, אך תמיד יש סיכוי שתוקפים יוכלו למנף טכניקות של הנדסה חברתית כדי להערים עליך להוריד תוכנות זדוניות.

זה לא הולך להיות בעיה עבור רוב משתמשי macOS. אבל, שוב, אם אתה מודע במיוחד לאבטחה, אנו ממליצים להוריד רק אפליקציות מחנות האפליקציות הרשמית של Mac או ממפתחים שאתה בהחלט יודע שאתה יכול לסמוך עליהם.

הקלה מלאה

לאפל יש גם טכניקה נוספת שיכולה להגן באופן מלא על משתמשי Mac מפני הפגיעות של ZombieLoad. אפל מכנה זאת הפחתה מלאה ופרסמה א מסמך תמיכה המפרט את הטקטיקה.

צמצום מלא מבטל את איום ZombieLoad, אך הוא לא חף מחסרונותיו. עבור חלק מהמשתמשים, הפחתה מלאה עשויה להיות הפחתת ביצועים של עד 40 אחוז.

הסיבה לכך היא שההפחתה המלאה דורשת מהמשתמשים להשבית את ההליכה של היפר-הברגה במעבדי אינטל שלהם. זה מגביר את ההגנה מפני פגיעויות ביצוע ספקולטיביות, אבל זה יכול גם להשפיע קשות על המהירות.

אבל זו עדיין הדרך הבטוחה ביותר לטפל בנתונים אם אתה נמצא בסביבה בעלת סיכון גבוה. זה כולל אם אתה משתמש בדפדפני אינטרנט שאין להם כרגע תיקון זמין.

מייק - תפוח
מייק פיטרסון(סופר בכיר)

מייק הוא עיתונאי עצמאי מסן דייגו, קליפורניה.

בעוד שהוא מכסה בעיקר את אפל וטכנולוגיות צרכנים, יש לו ניסיון עבר בכתיבה על בטיחות הציבור, שלטון מקומי וחינוך עבור מגוון פרסומים.

הוא חבש לא מעט כובעים בתחום העיתונות, כולל סופר, עורך ומעצב חדשות.