Google Project Zero ออกมาแจ้งเตือนถึงช่องโหว่ร้ายแรง 2 รายการ คือ Meltdown และ Spectre บน CPU เกือบทุกรุ่น ซึ่งช่วยให้แฮ็กเกอร์สามารถขโมยข้อมูลที่กำลังประมวลผลบนคอมพิวเตอร์ ไม่ว่าจะเป็นรหัสผ่านที่เก็บไว้บน Password Manager หรือ Browser รูปภาพ อีเมล ข้อความแชต ไฟล์เอกสาร และอื่นๆ

ช่องโหว่ Meltdown มีรหัส CVE-2017-5753 และ CVE-2017-5715 ส่วน Spectre มีรหัส CVE-2017-5754 เป็นช่องโหว่บนเทคนิคที่เรียกว่า Speculative Execution ซึ่งเป็นการทำ Optimization รูปแบบหนึ่งเพื่อเตรียมข้อมูลที่ “คาดว่า” จำเป็นต้องใช้ในอนาคต โดยเทคนิคนี้ถูกใช้บน CPU รุ่นใหม่ๆ แทบทุกรุ่นสำหรับเพิ่มความเร็วในการทำงาน แต่ Google กลับพบว่า สามารถใช้เทคนิคดังกล่าวเพื่ออ่านข้อมูลจากหน่วยความจำบน CPU ที่ไม่ควรอ่านได้ในระดับผู้ใช้ทั่วไป

Google เชื่อว่า CPU ของ Intel ทุกรุ่นที่ผลิตตั้งแต่ปี 1995 ยกเว้น Intel Itanium และ Intel Atom รุ่นก่อน 2013 ต่างได้รับผลกระทบต่อช่องโหว่ Meltdown ทั้งสิ้น ในขณะที่ช่องโหว่นี้ไม่ได้ส่งผลกระทบต่อ ARM และ AMD แต่อย่างใด ส่วนจะส่งผลกระทบต่ออุปกรณ์พกพาหรือไม่นั้น ตอนนี้ยังไม่ทราบแน่ชัด แต่ทาง Android ได้ออกแพทช์มาเป็นที่เรียบร้อยแล้ว สำหรับช่องโหว่ Spectre ส่งผลกระทบต่อ Intel, AMD และ ARM ไม่ว่าจะเป็น PC โน๊ตบุ๊ต หรือสมาร์ทโฟน

จนถึงตอนนี้พบว่า Linux macOS และ Android ออกแพทช์สำหรับอุดช่องโหว่เป็นที่เรียบร้อย ส่วน Microsoft เตรียมออกแพทช์สัปดาห์หน้าใน Patch Tuesday

ที่มา : https://www.bleepingcomputer.com/news/security/google-almost-all-cpus-since-1995-vulnerable-to-meltdown-and-spectre-flaws/



เนื้อหาที่เกี่ยวข้อง

1. ธนาคาร HSBC ถูกละเมิดฐานข้อมูลลูกค้า

2. ข้อความใน Facebook 8 หมื่นกว่าบัญชีถูกนำมาขาย

3. สายการบิน Cathay Pacific ถูกละเมิดข้อมูลผู้โดยสารกว่า 10 ล้านราย

4. พบช่องโหว่ร้ายแรงบน Library สำหรับ Streaming ที่มีชื่อว่า LIVE555

5. WhatsApp มีช่องโหว่ แค่รับสาย Video Call ก็อาจถูกแฮกข้อมูล