១. ព័ត៌មានទូទៅ
អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មានបានរកឃើញនូវចំនុចខ្សោយជាច្រើននៅក្នុង Intel Chips ដែលអាចត្រូវបានវាយលុកតាមរយៈបច្ចេកទេសវាយប្រហារ “execution side-channel” ។
ចំនុចខ្សោយ Micro-architectural Data Sampling (MDS) ទាំងនេះវាពាក់ព័ន្ធទៅនឹងលេខកូដ CVEs ចំនួន០៤ ខាងក្រោម៖
CVE-2018-12126 – Microarchitectural Store Buffer Data Sampling (MSBDS) [also known as Fallout]
CVE-2018-12127 – Microarchitectural Load Port Data Sampling (MLPDS)
CVE-2018-12130 – Microarchitectural Fill Buffer Data Sampling (MFBDS) [also known as Zombieload, or Rogue In-Flight Data Load(RIDL)]
CVE-2018-11091 – Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
២. ផលិតផលដែលរងផលប៉ៈពាល់
រាល់ Intel CPU ទាំងអស់ដែលមាននៅក្នុងមា៉ស៊ីនមេ (servers) ម៉ាស៊ីនកុំព្យូទ័រនៅលើតុ (desktops) និង ម៉ាស៊ីន Laptops តាំងពីឆ្នាំ២០០៨ មកម្លេះ ដោយរួមមានទាំង CPU ជំនាន់ទី៩ ផងដែរ។
៣. ការណែនាំ
ក្រុមហ៊ុន Intel បានបញ្ចេញនូវការអាប់ដេត microcode updates ទៅកាន់អ្នកផលិត និងអ្នកលក់ motherboard។ សម្រាប់អ្នកប្រើប្រាស់ និងអភិបាលគ្រប់គ្រងប្រព័ន្ធត្រូវធ្វើការត្រួតពិនិត្យទៅលើផលិតផលរបស់ខ្លួននៅក្នុងវេបសាយ ដើម្បីរកមើលនូវការអាប់ដេតជួសជុលសន្តិសុខ។
អ្នកប្រើប្រាស់ក៏អាចធ្វើការបិទមុខងារ Simultaneous Multi-Threading (SMT) ឬហៅថា Hyper-Threading technology ដែលនឹងអាចជួយដល់ការកាត់បន្ថយផលប៉ៈពាល់ដោយការវាយប្រហារ MDS-based នេះផងដែរ ប៉ុន្តែមិនអាចលប់បំបាត់បញ្ហានេះតាមទាំងស្រុងឡើយ។
- សម្រាប់ MacOS សូមចូលទៅកាន់ https://support.apple.com/en-us/HT210107
- សម្រាប់ Windows សូមចូលទៅកាន់ https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv190013
- សម្រាប់ ChromeOS សូមចូលទៅកាន់ https://www.chromium.org/Home/chromium-security/mds
- សម្រាប់ Linux សូមចូលទៅកាន់ http://lkml.iu.edu/hypermail/linux/kernel/1905.1/05371.html
៤. សម្រាប់ព័ត៌មានបន្ថែម
- https://www.bleepingcomputer.com/news/security/list-of-mds-speculative-execution-vulnerability-advisories-and-updates/
- https://www.bleepingcomputer.com/news/security/new-ridl-and-fallout-attacks-impact-all-modern-intel-cpus/
- https://www.intel.com/content/www/us/en/architecture-and-technology/mds.htmlhttps://cpu.fail
ខាងក្រោមនេះគឺជាព័ត៌មានពន្យល់បន្ថែម (ភាសាអង់គ្លេស)
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.