[ad_1]
“Neden güzel şeylere sahip olamayız” kategorisinde bir başka giriş, Retbleed bu hafta açıklandı, başka bir spekülatif yürütme güvenlik açığı olarak. Bu, AMD’nin Zen 3 ve Intel Generation 9 ve sonraki sürümleri için donanımda azaltılmıştır. Daha önceki cihazlar için hafifletmedeki performans oldukça acı verici. Bunu önceki zayıflıklardan tam olarak farklı kılan nedir ve önceki hafifletmeler neden bu sorunu kapsamadı?
Spectre V2, belirli bir bağlamda yürütülmemesi gereken kodun spekülatif yürütülmesini tetiklemek için bir CPU’nun dolaylı dal tahminini kötüye kullanır. CPU sonunda sahte yürütmeyi yakalayıp geri alsa da, önbellek içeriğinde hala parmak izleri kalıyor. Buradaki fikir, bu parmak izlerini okumanın, saldırgan sürecinin hiç erişmemesi gereken gerçek verileri sızdırmasıdır. Linux çekirdeğindeki çözüm “retpolin“, “dönüş” ve “trambolin”in bir portmantosu. Bu gadget, bir jmp bazı kurulumlarla talimat ve nihayet bir ret yerine arayın. Bu, soruna ucuz bir çözüm gibi görünüyordu.
Retbleed’in masaya getirdiği şey, bu iade talimatlarının spekülatif yürütülmesini de zehirleyen bir yöntemdir. Onların tam metin (PDF) daha güvenli Dönüş Yığın Tamponu (RSB) yerine savunmasız Şube Hedef Tamponunu (BTB) kullanmak için bir işlemciyi manipüle etmeye dayanan tekniği açıklar. Güvenlik açığı bulunan Intel sistemlerinde bu, gerçek hedef geri dönüşünü arabellekten çıkarmak için RSB’yi yeterli veriyle doldurmak anlamına gelir. Sıçrayışlar ve geri dönüşler dizisi gevşediğinde, son dönüş aslında RSB boşaldığı veya altına indiği için BTB’yi kullanır. Savunmasız AMD sistemleri, getirileri tahmin etmek için her zaman bir BTB kullanıyor gibi görünüyor, bu da sömürüyü orada çok daha kolay hale getiriyor.
Windows makineleri daha agresif bir azaltma politikası olan Dolaylı Şube Kısıtlı Spekülasyon (IBRS) kullanıyor ve bu belirli sorunu tamamen hafifletiyor gibi görünüyor, ancak önümüzdeki birkaç hafta içinde daha fazlası olabilir. Linux’ta, retpoline azaltma, nihayet varsayılan olarak IBRS ile değiştiriliyor ve bu da yukarıda tartışılan performans isabetine yol açıyor.
Etkilenen CPU’lardan birindeyseniz, hangi azaltmaların uygulanacağını kontrol etmek için kullanabileceğiniz bazı çekirdek parametreleri vardır. retbleed=off uygunsa mevcut retpoline azaltmayı kullanır, ancak bu saldırıya karşı güvenlik açığı pahasına performansı daha fazla düşürmez. Varsayılan, retbleed=auto Simultaneous MultiThreading’i (SMT) devre dışı bırakmadan makineyi pratik olduğu kadar güvenli hale getirmek için tüm azaltımları kullanacaktır. Ve sonunda retbleed=auto,nosmt teknik olarak tam azaltmalar için gerekli olan birkaç modelde SMT’yi gerçekten devre dışı bırakacaktır. Bu, makinenin performansını daha da kötüleştirdiği için varsayılan olarak ayarlanmamıştır.
NIST Kuantum Sonrasına Gidiyor
Kuantum kripto-Kıyamet henüz gerçekleşmemiş olsa da, standartlardan sorumlu çeşitli kurumlar, araştırmalara sponsor olarak ve ardından yeni nesil standartlar olarak kullanılacak kriptografi şemalarını seçerek eğrinin önünde kalmak için çalışıyor. Bu doğrultuda, NIST, Kuantum Sonrası Kriptografi Standardizasyon Süreci için bir güncelleme yayınladı. Buradaki büyük haber, birkaç algoritmanın seçilmiş olmasıdır. Şahin, SPHINCS, KRİSTALLER-Kyber ve KRİSTALLER-Dilithium. Katılanlar arasında isimlere göre kesinlikle bazı bilim kurgu meraklıları var gibi görünüyor.
KRİSTALLER-Kyber bir Anahtar Kapsülleme Mekanizması (KEM), yalnızca genel olarak gönderilen mesajları kullanarak özel bir anahtarı paylaşma yöntemi, bir Diffie-Hellman. CRYSTALS-Dilithium ve diğerleri, verileri doğrulamak için yararlı olan imza şemalarıdır. Her gün kullandığımız farklı projeler ve uygulamalar aracılığıyla bu standartların yayılmasını dört gözle bekliyoruz.
PyPI, 2FA ve Huysuz Bir Geliştirici
Güvenlik sorunlarından kaçınmak için PyPI deposu, bir güvenlik politikası yayınladı Bu, kritik projelerin bakımcılarının hesapları için İki Faktörlü Kimlik Doğrulamayı kullanmasını gerektirir ve hatta ücretsiz donanım anahtarları gönderir. Dahil edilme kriterleri, altı ay boyunca indirmelerin ilk %1’inde olmaktır. Sayfadaki SSS’de ilgili bir soru var: “Bir proje herhangi bir şekilde devre dışı bırakılabilir veya kritik olamaz mı?” Resmi yanıt, “Hayır, proje kritik olarak belirlendikten sonra, bu atamayı süresiz olarak korur” şeklindedir. En az bir geliştirici, ilginç sonuçlar veren bir geçici çözüm keşfetti.
güzel, az önce atomicwrites paketini sildim, ardından yeni bir sürüm yükledim. şimdi artık kritik bir proje değil
– Markus Unterwaditzer (@untitaker) 8 Temmuz 2022
Bunu tekrar oku. PyPI’deki en popüler paketlerden biri silindi ve yeni bir sürüm yüklendi. Sabitlenmiş bir sürümüne işaret eden her proje ve her bağımlılık atomicwrites yükleme işlemlerini bozdular. Elbette, artık kritik bir paket olarak işaretlenmiyor ve yazarın 2FA kullanması gerekmiyor, ancak PyPI yöneticileri devreye girip sorunu çözene kadar, dünya çapında bir grup geliştirici oldukça zor durumdaydı. birincil geliştirici, [unitaker] o zamandan beri karar verdi paketi yalnız bırakın, ancak kullanımdan kaldırın.
Ne düşündüğünüzü bize bildirin, PyPI yanlış mı, gönüllü geliştiricilerin 2FA kullanmasını mı gerektiriyor, yoksa tedarik zinciri sorunu bu zahmete değecek kadar önemli mi?
sevimli kız
Ve PyPi’nin neden güvenlik konusunda endişeli olduğunu bilmek istiyorsanız – NPM’de bazı garip faaliyetler tespit edildi, hizmete toplu olarak yüklenen binden fazla kötü amaçlı paketin ayarına. Hepsi rastgele adlandırılmış kullanıcılar altında ve bir varyasyonu gibi görünüyor. eazyminer, Node.js için basit bir madeni para madenciliği paketidir. Adı, “şirin” adlı bir havuza gönderen o madencinin yapılandırmasından geliyor.
Bu, kullanıcılar oluşturmak ve paketleri yüklemek için otomatik bir aracın testi gibi görünüyor, belki daha kötü niyetli bir çalışma için hazırlanıyor. Veya kullanıcı oluşturmanın nasıl otomatikleştirileceği hakkında bir rapor yayınlamayı planlayan bir araştırmacı olabilir. Her iki durumda da, botun etkinliğini izlemek için uygun şekilde adlandırılmış bir site bile var. şirinboi.info. (Biliyorum, bu korkunç bir URL’ye benziyor. Söz veriyorum, iş için güvenli.)
Bitler ve Baytlar
takip ediyorduk OpenSSL AVX512 bellek bozulma hikayesi şimdi ciddi haftalar için. Sonunda bu konuda bir iğne var, çünkü OpenSSL 3.0.5 yayınlandı, düzeltmeyi içeren. Bildiğimiz kadarıyla, bu hata için tam bir RCE istismarı mevcut değil. Bu nedenle, tek başına bakıldığında çok ciddi bir sorun olsa da, bu neredeyse kesinlikle gerçek dünyada sıfıra dönen bir etki olacaktır.
QNAP’ın sahip olduğu yeni bir fidye yazılımı saldırısı hakkında bir tavsiye yayınladı ve önerilen eylem “KOBİ’leri internete maruz bırakmayın” şeklinde özetlenebilir. Saldırı, açıkta kalan hizmetlere yönelik bir sözlük saldırısı gibi görünüyor. Hizmeti güçlendirmek için bir güncelleme mevcuttur ve QNAP, hizmetleri ağa göstermek yerine bir VPN kullanılmasını önerir.
Microsoft sonunda geçmişi geride bırakmaya çalışıyor ve ofis belgelerinde varsayılan olarak makroları engelle. Office, belgeye açıkça güvenilip güvenilmediğinden, makroların güvenilir bir yayıncı tarafından imzalanıp imzalanmadığından vb. başlayarak makroların çalıştırılıp çalıştırılmayacağını belirlemek için bir mantık akışına sahiptir. Yeni olan, akış grafiğin sonundan düştüğünde varsayılan davranıştır. Geçmişte, varsayılan olarak makroları çalıştırarak açılmazdı. Yeni davranış güvenli bir şekilde başarısız oluyor ve çalışmayı reddediyor. Bununla ilgili en çılgın şey, bu değişikliğin şimdilik geri alındığına dair yeterince geri bildirim almaları, böylece makro virüsleri yine de zorlayabilirsiniz. 1999 gibi parti, Melissa!
Ve bu yeterli güvenlik çılgınlığı değilse, kontrol edin Aerojet Recketdyne’nin hikayesi hangi işe alındı [Brian Markus] “siber güvenlik, uyumluluk ve kontrollerin kıdemli direktörü” olarak. Rocketdyne raporları tahrif ediyordu, tıpkı bir güvenlik ekipmanı daha kutudayken ellerinde olduğunu bildirmek gibi. Bütün bunlar hükümet sözleşmelerinin peşinde. [Markus] şirketin uygun kurallara uyduğunu belirten bir belgeyi imzalamayı reddetti. İmzalamayı reddetti ve sonuç olarak kovuldu. Uzun yıllar süren yasal çekişmelerden sonra, taraflar anlaşmaya vardılar. [Markus] şirketten 2,6 milyon doların üzerinde para alıyor ve ABD hükümeti bunun iki katını almıyor. Görünüşe göre bazı zamanlar doğru olanı yapmak için para ödüyor. (Aracılığıyla Heise.de).
[ad_2]
Kaynak : https://hackaday.com/2022/07/15/this-week-in-security-retbleed-post-quantum-python-atomicwrites-and-the-mysterious-cuteboi/