MITRE liderliğindeki Ortak Zayıflık Sayımı (CWE) programı, topluluk tarafından geliştirilen ve sömürülebilir güvenlik açıklarına neden olan yaygın yazılım ve donanım zayıflıkları listesine mikroişlemciyle ilgili dört yeni zayıflık ekledi.
Yeni CWE’ler İçerilen güncellemeler arasında en önemlileri CWE Sürüm 4.14, Farklı zayıflık türlerini tanımlamak ve belgelemek için yaygın olarak kullanılan kaynağın en son sürümü 29 Şubat’ta yayınlandı.
Karmaşık, İşbirliğine Dayalı Bir Çaba
CWE’ler Intel, AMD, Arm, Riscure ve Cycuity arasındaki ortak çabanın sonucudur ve yarı iletken alanındaki işlemci tasarımcılarına ve güvenlik uygulayıcılarına modern mikroişlemci mimarilerindeki zayıflıkları tartışmak için ortak bir dil sağlar. Paydaşlar CWE’leri mevcut ürünlerdeki zayıflıkları aramak ve mikroişlemci teknolojilerinde güvenlik açıklarına yol açan zayıflıkları belirlemek ve azaltmak için bir standart oluşturmak için kullanabilir.
MITRE’nin CWE program lideri Alec Summers, “CWE’ler… güvenlik açıklarını gerçekten mümkün kılan temel nedenlerle ilgilidir” diyor. Summers, bunların bir geliştiricinin yapabileceği tek bir hata ile bunun tüm ürünlerde yol açabileceği yüzlerce güvenlik açığı arasındaki bire-çok ilişkiye ilişkin bilgileri kapsadığını söylüyor. “Dört yeni CWE, mikro mimari tasarımdaki hataları tanımlıyor ve bazı açılardan rakip olan endüstri üyeleri arasındaki gerçekten inanılmaz işbirliğinin sonucudur” diyor.
İşbirliğinin büyük bir kısmı, donanım ve mikroişlemci topluluklarındaki paydaşların, aşağıdakiler gibi büyük güvenlik açıklarının ardındaki temel nedenlere ilişkin ortak bir anlayış oluşturma çabalarından kaynaklandı: Erime ve SpectreBu işle görevlendirilen CWE çalışma grubunun lideri Bob Heinemann diyor.
İlgili iki güvenlik açığı, sıra dışı veya spekülatif yürütme adı verilen işlemci performansı optimizasyon tekniğindeki bir zayıflıkla ilişkilendirildi. Kusurlar yan kanal saldırılarını etkinleştirdi Saldırganlar, bu işlemcileri çalıştıran sistemlerden şifreler ve şifreleme anahtarları gibi hassas bilgileri elde etmek için kötüye kullanabilirler. Güvenlik açıkları hemen hemen tüm önemli mikroişlemci teknolojilerini etkiledi ve donanım düzeyinde mevcut oldukları için ele alınması son derece zorlayıcıydı. O zamandan bu yana araştırmacılar yeni yöntemler aramaya ve bulmaya devam ediyor. Yan kanal saldırılarındaki zayıflıktan yararlanın.
“Haşladık [the root causes] CWE programının şimdiye kadar üstlendiği teknik açıdan en zorlu ve karmaşık işlerden biri olarak nitelendiren Heinemann, “dört şeye kadar” diyor. Odak noktası, mikroişlemci tasarımcılarının, tasarım yapmalarına yardımcı olacak bilgilere sahip olmalarını sağlamaktı. İki güvenlik açığına ve benzerlerine yol açan nedenlerin olduğunu söylüyor.
Modern CPU’larda Geçici Yürütmeyle İlgili Zayıflıklar
Dört yeni CWE, CWE-1420, CWE-1421, CWE-1422 ve CWE-1423’tür.
CWE-1420, Meltdown ve Spectre ile ilişkili donanım optimizasyon işlevi olan geçici veya spekülatif yürütme sırasında hassas bilgilerin açığa çıkarılmasıyla ilgilidir ve diğer üç CWE’nin “ebeveynidir”.
CWE-1421, geçici yürütme sırasında paylaşılan mikro mimari yapılarda hassas bilgi sızıntılarıyla ilgilidir; CWE-1422, geçici yürütme sırasında yanlış veri iletiminden kaynaklanan veri sızıntılarını giderir. CWE-1423, bir mikroişlemci içindeki belirli bir dahili duruma bağlı veri maruziyetine bakar.
Mikroişlemcili CWE’ler artan sayıda olması nedeniyle önemlidir. CPU’yu hedef alan yan kanal açıkları Kaynaklar, diyor Viakoo Laboratuvarları başkan yardımcısı John Gallagher. “Çip düzeyindeki güvenlik açıklarının yamalanması genellikle zordur” diyor ve şöyle devam ediyor: “Bu nedenle potansiyel güvenlik açıklarını erken yakalamak, donanım yazılımı güncellemeleri yoluyla ve sonuçta güvenlik açığını gelecekten tasarlayarak bunları ele almanın daha iyi bir yolunu sağlar. [versions]”