Google Ungkap Informasi Tentang Meltdown dan Spectre


Google Ungkap Informasi Tentang Meltdown dan Spectre

Kerentanan keamanan Intel yang muncul di pemberitaan ternyata tidak hanya menimpa prosesor Intel. Saham Intel mengalami penurunan setelah kabar bug hardware muncul, tapi menurut para peniliti di Google Project Zero, kerentanan tersebut memungkinkan hacker mengambil data dari perangkat yang menggunakan prosesor Intel, AMD, dan ARM.

Para peneliti tersebut merupakan orang yang sama yang pertama kali menemukan masalah itu (dilaporkan kepada para pabrikan prosesor di Juni 2017). Intel dan perusahaan lainnya berencana mengungkapkannya minggu depan ketika telah tersedia pembaruan untuk mengatasinya. Tapi, para pabrikan prosesor tersebut akhirnya terpaksa mengeluarkan pernyataan untuk merespon beragam pemberitaan tentang kerentanan keamanan yang bocor ke publik.

Berita ini menjadi besar karena kendala tersebut diperkirakan memiliki dampak lebih luas dari dugaan yakni mencakup PC, smartphone, dan server. Selain itu, temuan tersebut bertentangan dengan pernyataan awal AMD bahwa prosesornya tidaklah rentan.

Maka dari itu, AMD menyampaikan respon melalui pernyataan kedua yang mengatakan tetap yakin prosesor mereka tidak memiliki rongga kerentanan:

Tim riset keamanan telah mengidentifikasi tiga varian yang menyasar eksekusi spekulatif. Ancaman dan respon terhadap ketiga varian berbeda untuk setiap perusahaan mikroprosesor, dan AMD tidak rentan oleh ketiga varian tersebut. Oleh karena perbedaan pada arsitektur AMD, kami meyakini risikonya mendekati nol pada prosesor AMD saat ini.

Google menyatakan terdapat tiga bagian dari serangan dan seluruhnya perlu di-patch segera.

Singkatnya, eksploitasi tersebut memungkinkan sebuah proses mengakses data memori tanpa ijin yang berisi material sensitif seperti password. Misalnya, seseorang menyerang virtual machine bisa mengakses memori host machine, lalu berpindah ke memori VM lainnya yang ada pada sistem tersebut.

Kerentanan tersebut disebut sebagai Meltdown dan Spectre, dengan Spectre sebagai pusat perhatian saat ini. Ia menggunakan eksekusi spekulatif untuk mendobrak “isolasi fundamental” antara aplikasi dan sistem operasi (OS) sebagai upaya mendapatkan data.

CPU modern meningkatkan performa dengan menggunakan eksekusi spekulatif untuk menjalankan kode pemrogragam. Sayangnya, prosesor bisa mengambil langkah inisiatif dan mengeksekusi instruksi yang seharusnya belum saatnya dieksekusi. Hacker bisa memanfaatkannya dengan menipu prosesor menjalankan kode pemrograman tak berijin ke dalam memori kernel.

Spectre menggunakan pendekatan serupa untuk melewati pemisahan antar aplikasi, tapi juga lebih sulit untuk dieksploitasi.

Kabar baiknya adalah perbaikan telah tersedia. Google menyatakan bahwa smartphone Android dengan pembaruan keamanan terbaru bisa dibilang aman, demikian pula dengan perangkat seperti Google Home, Chromecast, dan Google WiFi.

Microsoft telah menyediakan pembaruan keamanan Windows di luar jadwal Patch Tuesday biasanya untuk menambal rongga kerentanan tersebut. Patch untuk Linux dan MacOS juga sudah tersedia.

Sedangkan untuk kabar penurunan performa yang diakibatkan oleh patch tersebut, sepertinya tergantung pada tipe beban kerja yang diemban sebuah sistem.

Sumber: Google Security Blogmeltdownattack.com

 

Semua Kategori Berita

Berita 12 Bulan Terakhir