ملتداون (ثغرة أمنية)
ملتداون Meltdown، هي ثغرة تؤثر على معالجات انتل Intel x86 microprocessors وآي بي م IBM POWER processors وبعض المعالجات المبنية على معمارية ARM ، تسمح هذه الثغرة للمخترقين من الوصول إلى المعلومات السرية المخزنة في الذاكرة على أنظمة تشغيل الحواسيب العاملة بأنظمة مايكروسوفت وأپل ونظام لينوكس، بالإضافة إلى أنظمة الهواتف المحمولة.
تعني حدثة ميلتداون Meltdown الذوبان، حيث تذيب هذه الثغرة القيود التي يفرضها العتاد المادي، أي بمعنى آخر يكسر الحاجز الأساسي بين تطبيقات المستخدم ونظام التشغيل، وهذا ما يمكّن المهاجم من الوصول إلى الذاكرة الأساسية في الوضع المحمي دون الحاجة للحصول على إذنٍ بذلك، وبالتالي تمكنه من سرقة المعلومات من التطبيقات من مثل حدثات المرور ومفاتيح التشفير ومعلومات بطاقة الائتمان والصور والوثائق. يحتاج تجاوز هذه المشكلة تغييراً في آلية استخدام نظام التشغيل للذاكرة، ومن المتسقط حتى تؤدي هذه التغيرات إلى انخفاض سرعة النظام في معالجة بعض المهام إلى 30%.
نظرة عامة
التاريخ
الأجهزة المتأثرة
الآلية
التأثير
التخفيف من حدة الضرر
| Vulnerability | CVE | Exploit name | Public vulnerability name | Windows changes | Firmware changes |
|---|---|---|---|---|---|
| (Spectre) | 2017-5753 | Variant 1 | Bounds Check Bypass (BCB) | Recompiling with a new compiler Hardened Browser to prevent exploit from JavaScript |
لا |
| (Spectre) | 2017-5715 | Variant 2 | Branch Target Injection (BTI) | New CPU instructions eliminating branch speculation | نعم |
| Meltdown | 2017-5754 | Variant 3 | Rogue Data Cache Load (RDCL) | Isolate kernel and user mode page tables | لا |
انظر أيضاً
- فورشادو(ثغرة أمنية)
- سپكتر (ثغرة أمنية)
- Intel Management Engine - an Intel subsystem which was discovered to have a major security vulnerability in 2017
- Pentium F00F bug
- Pentium FDIV bug
- Rogue System Register Read (RSRE) - a related vulnerability also known as Variant 3a
- Row hammer – an unintended side effect in dynamic random-access memory causing memory cells to interact electrically
المصادر
- ^ "ميلتداون وسبيكتر، أخطر ثغرات المعالجات على الإطلاق". ناسا بالعربي. 2018-01-05. Retrieved 2018-12-21.
- ^ "Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems". Microsoft. January 9, 2018.
وصلات خارجية
- Official website of the Meltdown and Spectre vulnerabilities
- Google Project Zero write-up
- CVE-2017-5754 at National Vulnerability Database
- Meltdown's proof-of-concept released by researchers that also published the meltdown paper.
- Am I Affected by Meltdown - Meltdown Checker Tool created by Raphael S. Carvalho
- Meltdown/Spectre Checker Gibson Research Corporation
نطقب:Speculative execution exploits
