Intel gặp rắc rối với lỗ hổng bảo mật Spectre và Meltdown, cho phép hacker ăn trộm thông tin bảo mật thông qua chip xử lý. Còn AMD mới đây cũng bị phát hiện một lỗ hổng tương tự. Các nhà nghiên cứu bảo mật tại trường đại học công nghệ Graz, Styria, Áo mới đây đã phát hiện ra hai lỗ hổng cho phép hacker tấn công kênh bên (side-channel attack) được đặt tên là “Take A Way”, hacker cũng có thể lấy đi thông tin qua chip xử lý, bất kể nó là chip Athlon 64 X2, Ryzen 7 hay Threadripper mới.
Cả hai cách tấn công này đều lợi dụng tính năng suy đoán các lệnh thực thi qua CPU của Cache L1, giúp CPU có hiệu năng cao và tiêu tốn ít điện năng. Hacker từ đó có thể theo dõi luồng dữ liệu mà CPU sử dụng mà không cần biết địa chỉ IP của máy tính. Các nhà nghiên cứu ở đại học Graz đã trình diễn lỗ hổng bảo mật này, lợi dụng JavaScript trong nhiều trình duyệt như Chrome hay Firefox để lấy được dữ liệu xử lý qua CPU. Take A Way, so với Meltdown hay Spectre, chỉ để lộ lượng thông tin rất nhỏ, nhưng ngần đó vẫn là đủ để lấy được thông tin mã hóa AES encryption.
Theo các nhà nghiên cứu, lỗ hổng này có thể được vá thông qua nâng cấp phần cứng và phần mềm, nhưng họ vẫn chưa rõ việc vá lỗ hổng này sẽ ảnh hưởng ra sao tới hiệu năng. Những firmware và phần mềm vá lỗ hổng Meltdown và Spectre cũng khiến hiệu năng xử lý của CPU bị ảnh hưởng tiêu cực, phụ thuộc vào phần mềm và phần việc CPU đảm nhiệm.
Về phần AMD, họ đưa ra thông báo chính thức, nói rằng “đây không phải cách tấn công máy tính mới dựa trên tính năng suy đoán của CPU”, và từ đó cũng không tung ra bản cập nhật phần mềm nào để vá lỗ hổng này.
Bản thân nghiên cứu này cũng sẽ gây tranh cãi vì Hardware Unboxed mới đây đã phát hiện ra rằng chính Intel đã đổ tiền cho các nhà nghiên cứu bảo mật ở Áo tìm kiếm lỗ hổng bảo mật trong CPU của AMD. Dù rằng điều này có thể khiến những lo ngại về việc cạnh tranh giữa Intel và AMD xuất hiện, nhưng tỏng quá khứ, những chuyên gia bảo mật cũng đã nhận được tiền đầu tư từ chính Intel cùng nhiều tập đoàn khác khi tìm ra được lỗ hổng trong chính sản phẩm của họ.
Cả hai cách tấn công này đều lợi dụng tính năng suy đoán các lệnh thực thi qua CPU của Cache L1, giúp CPU có hiệu năng cao và tiêu tốn ít điện năng. Hacker từ đó có thể theo dõi luồng dữ liệu mà CPU sử dụng mà không cần biết địa chỉ IP của máy tính. Các nhà nghiên cứu ở đại học Graz đã trình diễn lỗ hổng bảo mật này, lợi dụng JavaScript trong nhiều trình duyệt như Chrome hay Firefox để lấy được dữ liệu xử lý qua CPU. Take A Way, so với Meltdown hay Spectre, chỉ để lộ lượng thông tin rất nhỏ, nhưng ngần đó vẫn là đủ để lấy được thông tin mã hóa AES encryption.
Theo các nhà nghiên cứu, lỗ hổng này có thể được vá thông qua nâng cấp phần cứng và phần mềm, nhưng họ vẫn chưa rõ việc vá lỗ hổng này sẽ ảnh hưởng ra sao tới hiệu năng. Những firmware và phần mềm vá lỗ hổng Meltdown và Spectre cũng khiến hiệu năng xử lý của CPU bị ảnh hưởng tiêu cực, phụ thuộc vào phần mềm và phần việc CPU đảm nhiệm.
Về phần AMD, họ đưa ra thông báo chính thức, nói rằng “đây không phải cách tấn công máy tính mới dựa trên tính năng suy đoán của CPU”, và từ đó cũng không tung ra bản cập nhật phần mềm nào để vá lỗ hổng này.
Bản thân nghiên cứu này cũng sẽ gây tranh cãi vì Hardware Unboxed mới đây đã phát hiện ra rằng chính Intel đã đổ tiền cho các nhà nghiên cứu bảo mật ở Áo tìm kiếm lỗ hổng bảo mật trong CPU của AMD. Dù rằng điều này có thể khiến những lo ngại về việc cạnh tranh giữa Intel và AMD xuất hiện, nhưng tỏng quá khứ, những chuyên gia bảo mật cũng đã nhận được tiền đầu tư từ chính Intel cùng nhiều tập đoàn khác khi tìm ra được lỗ hổng trong chính sản phẩm của họ.
Theo Engadget
