سپكتر (ثغرة أمنية)

(تم التحويل من Spectre (security vulnerability))
شعار صُمم للثغرة الأمنية، يصور شبحاً يحمل فرع شجرة.

سپكتر Spectre، هي ثغرة تؤثر على المعالجات الدقيقة التي تقوم بالتنبؤ الفرعي.[1][2][3] سپكتر هو ثغرة امنية في المعالجات الحديثة من ( Intel - AMD - ARM )و التي تعتمد في تصمصم معالجاتها على ما يعرف ب branch predictor ( مخمِن الوجهه وهي تقنية مستخدمة في معمار المعالجات لتحديد و التنبؤ إتجاه العمليات الشرطية و المنطقية ) ، وجد الباحثون أن هناك نقاط ضعف في هذه المعالجات التي قد تسمح للمخترقين بقراءة معلومات حساسة لا ينبغي أن يطلعون عليها في وحدة المعالجة المركزية، و يستطيع المخترقين الاطلاع على البيانات التي يوفرها المعالج بصورة مؤقتة خارج رقاقة المعالج سواء في المخدمات او الحواسيب الشخصية وكذلك الهواتف الذكية . تكسر سبيكتر الحاجز بين التطبيقات المختلفة، ما يسمح للمهاجمين بخداع البرامج الخالية من الأخطاء وتسريب بياناتها السريّة، فتمكن من قراءة ذاكرة التطبيقات عالية الأمان بطريقة مخادعة، فعلى سبيل المثال، في حال زيارة موقع ويب يمكن قراءة الكود البرمجي المكتوب بلغة الجافا سكريبت الخاص بالموقع، وبالتالي قراءة عمليات تسجيل الدخول وكلمات المرور المخزنة، كما يعتبر سبيكتر أحد الثغرات صعبة الاستخدام بالنسبة للقراصنة لكنها بالمقابل صعبة الإصلاح وستؤدي إلى مشاكل أكبر على المدى الطويل. [4]


. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

التاريخ

تفسير مفصل

الاستغلال عن بعد

التأثير

التخفيف من حدة الضرر

ملخص للتدابير التخفيف من حدة الضرر في مايكروسوفت وندوز[5][6][7][8][9]
Vulnerability CVE Exploit name Public vulnerability name تغيير الوندوز Firmware changes
Spectre 2017-5753 Variant 1 Bounds Check Bypass (BCB) Recompiling with a new compiler
Hardened browser to prevent exploit from JavaScript
لا
Spectre 2017-5715 Variant 2 Branch Target Injection (BTI) New CPU instructions eliminating branch speculation Yes
Meltdown 2017-5754 Variant 3 Rogue Data Cache Load (RDCL) Isolate kernel and user mode page tables لا
Spectre-NG 2018-3640 Variant 3a Rogue System Register Read (RSRE) نعم
Spectre-NG 2018-3639 Variant 4 Speculative Store Bypass (SSB) نعم
Spectre-NG 2018-3665 Lazy FP State Restore
Spectre-NG 2018-3693 Variant 1.1 Bounds Check Bypass Store (BCBS)
Spectre Variant 1.2 Read-only protection bypass (RPB)
SpectreRSB Return Mispredict

برميجات معينة

منهجيات عامة

جدل

انظر أيضاً

المصادر

  1. ^ خطأ استشهاد: وسم <ref> غير صحيح؛ لا نص تم توفيره للمراجع المسماة SpectrePaper
  2. ^ Greenberg, Andy (2018-01-03). "A Critical Intel Flaw Breaks Basic Security for Most Computers". Wired. Archived from the original on 2018-01-03. Retrieved 2018-01-03. {{cite web}}: Unknown parameter |dead-url= ignored (|url-status= suggested) (help)
  3. ^ Bright, Peter (2018-01-05). "Meltdown and Spectre: Here's what Intel, Apple, Microsoft, others are doing about it". Ars Technica. Archived from the original on 2018-05-26. Retrieved 2018-01-06. {{cite web}}: |archive-date= / |archive-url= timestamp mismatch; 2018-05-27 suggested (help); Unknown parameter |dead-url= ignored (|url-status= suggested) (help)
  4. ^ "ميلتداون وسبيكتر، أخطر ثغرات المعالجات على الإطلاق". ناسا بالعربي. 2018-01-05. Retrieved 2018-12-21.
  5. ^ خطأ استشهاد: وسم <ref> غير صحيح؛ لا نص تم توفيره للمراجع المسماة microsoft-20180109
  6. ^ "Q2 2018 Speculative Execution Side Channel Update". Intel. 2018-06-25 [2018-05-21]. INTEL-SA-00115. Archived from the original on 2018-07-15. Retrieved 2018-07-15. {{cite web}}: Unknown parameter |dead-url= ignored (|url-status= suggested) (help)
  7. ^ خطأ استشهاد: وسم <ref> غير صحيح؛ لا نص تم توفيره للمراجع المسماة Windeck_2018_V3aV4
  8. ^ خطأ استشهاد: وسم <ref> غير صحيح؛ لا نص تم توفيره للمراجع المسماة Windeck_2018_NG3
  9. ^ خطأ استشهاد: وسم <ref> غير صحيح؛ لا نص تم توفيره للمراجع المسماة Windeck_2018_Raadt
خطأ استشهاد: الوسم <ref> ذو الاسم "AMD statement" المُعرّف في <references> غير مستخدم في النص السابق.

قراءات إضافية

وصلات خارجية

قالب:Speculative execution exploits