Gửi bình luận
Hủy
Gửi
Gần đây, Siemens đã cập nhật bản tin bảo mật về các lỗ hổng Meltdown và Spectre để thông báo cho khách hàng về những biến thể mới nhất, đặc biệt là các biến thể được biết đến như LazyFP và Spectre 1.1.
Một số nhà cung cấp hệ thống điều khiển công nghiệp (Several industrial control systems - ICS) đã đưa ra những khuyến cáo bảo mật cho những lỗ hổng CPU ngay sau khi chúng được tiết lộ vào hồi đầu tháng 1. Vào ngày 11 tháng 11, Siements đã công bố một bản tin về các lỗ hổng speculative side-channel.
Vào hồi cuối tháng 5, công ty đã cập nhật bản tin của mình trong đó bao gồm thông tin về biến thể Variant 3a và Variant 4, được biết đến như Spectre-NG. Vào thứ Ba vừa qua, Siemens một lần nữa cập nhật bản tin bảo mật để mô tả những biến thể của LazyFP, một lỗ hổng giống như Meltdown, có mức nghiêm trọng trung bình, được phát hiện vào giữa tháng sáu, có mã định danh là CVE-2018-3665 và Spectre 1.1, được phát hiện vào đầu tháng này, có mã định danh là CVE-2017-5753.
LazyFP liên quan tới đơn vị dấu chấm động (floating point unit - FPU), được biết đến như bộ đồng xử lý vào/ra toán học. Các nhà nghiên cứu phát hiện ra rằng, nếu một số điều kiện nhất định được đáp ứng, một kẻ tấn công có thể truy nhập dữ liệu trạng thái FPU, có thể chứa các thông tin nhạy cảm như các khóa mật mã.
Spectre 1.1 được mô tả như một lưu trữ vượt qua các giới hạn kiểm tra (bounds check bypass store - BCBS), được phát hiện cùng với Spectre 1.2. Intel đã trao 100.000 USD cho các nhà nghiên cứu xác định được những biến thể này.
Trong khi Lazy và Spectre 1.1 liên quan tới các lỗ hổng Meltdown và Spectre ban đầu thì các nhà cung cấp CPU và hệ điều hành lại không quan tâm đến tác động của chúng.
Siemens đã khuyên khách hàng luôn chú ý tới những bản cập nhật phần mềm (software và firmware) được cung cấp cho các hệ điều hành và xử lý. Siemens cũng cảnh báo rằng, một số bản cập nhật này có thể dẫn đến các vấn đề về tính tương thích, hiệu xuất hoặc tính ổn định.
Siemens sẽ tiếp tục phân tích ảnh hưởng của những lỗ hổng này trên các sản phẩm của mình
Những lỗ hổng Meltdown và Spectre ban đầu đã ảnh hưởng tới một số sản phẩm của Siemens, bao gồm các thiết bị SIMATIC, RUGGEDCOM, SIMOTION, SINEMA và SINUMERIK. Công ty đã phát hành cả bản cập nhật cho BIOS và phần mềm, cùng với các giải pháp thay thế và giảm nhẹ.
TẠP CHÍ ĐIỆN TỬ THÔNG TIN VÀ TRUYỀN THÔNG