Meltdown dan Spectre mungkin terdengar seperti nama film thriller mata-mata beranggaran besar, tetapi sebenarnya jauh lebih layak diberitakan. Eksploitasi keamanan menandai era baru ancaman dunia maya yang berbahaya – serangan yang datang melalui perangkat keras CPU yang tersebar luas, bukan melalui celah perangkat lunak yang dapat ditambal dengan mudah.
BACA BERIKUTNYA: Apa itu Meltdown dan Spectre?
Karena vendor perangkat keras dan perangkat lunak bekerja sama untuk mencoba mengeluarkan perbaikan firmware dan perangkat lunak dengan cepat, para peneliti khawatir ini hanyalah awal dari tren baru, dan hal itu telah terjadi. Meltdown dan Spectre memiliki sekuel, dan yang lebih buruk lagi, tidak ada yang menemukan nama kode yang terdengar menakutkan untuk itu, jadi kita pergi dengan satu seteguk: Speculative Store Bypass Variant 4 (Meltdown dan Spectre mencakup 1-3 antara mereka.)
Bug tersebut diungkapkan bersama oleh para peneliti dari Microsoft dan Project Zero Google, dan meskipun perusahaan mengklaim bahwa risiko bagi pengguna "rendah" dan itu tidak ada bukti bahwa itu telah digunakan di alam liar, itu berdampak pada prosesor Intel, AMD dan ARM, yang berarti jaring prosesor yang berpotensi rentan cukup lebar.
Seperti Spectre, bug mengeksploitasi fungsi eksekusi spekulatif prosesor modern, begitulah cara CPU membuat tebakan yang cerdas tentang data mana yang akan digunakan saat mereka memproses tugas, daripada menunggu informasi yang 100% akurat untuk ditingkatkan pertunjukan. Seperti pendahulunya, Speculative Store Bypass Variant 4 memanfaatkan cara perlindungan prosesor data selama proses ini, dan secara teoritis mampu mengangkat informasi yang bocor di sepanjang jalan, seperti kata sandi.
Jika ini agak berat, video di bawah dari Red Hat Linux dapat membantu Anda memvisualisasikan kekurangannya dengan membantu Anda membayangkan CPU Anda sebagai restoran (tidak, sungguh).
Jadi bagaimana Speculative Store Bypass Variant 4 dapat dinetralkan? Nah, kabar baiknya adalah keefektifannya sudah sangat berkurang dengan langkah-langkah yang diambil oleh browser web selama krisis Meltdown. Sebagai kepala keamanan Intel Leslie Culbertson menulis di posting blog, perbaikan untuk seperti Safari, Edge, dan Chrome "juga berlaku untuk varian 4 dan tersedia untuk digunakan konsumen saat ini".
Sayangnya, agar benar-benar aman, ada bagian lain dari obatnya, dan yang ini memiliki efek samping. Pembaruan firmware untuk CPU yang terpengaruh akan memiliki efek knock-on yang mengecewakan dari penurunan kinerja yang kecil, jika perangkat lunak beta Intel dapat digunakan. Oleh karena itu, versi Intel akan dimatikan secara default, sehingga konsumen dan administrator sistem dapat memilih antara performa dan keamanan.
Lihat terkait
“Jika diaktifkan, kami mengamati dampak kinerja sekitar 2-8% berdasarkan skor keseluruhan untuk benchmark seperti SYSmark 2014 SE dan SPEC integer rate pada sistem pengujian klien 1 dan server 2,” tulis Culbertson.
Seorang juru bicara Microsoft terungkap bahwa perusahaan pertama kali mengetahui varian ini pada November 2017, dan mengungkapkannya kepada mitra industri sebagai bagian dari Pengungkapan Kerentanan Terkoordinasi.” Juru bicara lain diberi tahu Ambang: “Kami tidak mengetahui adanya instance dari kelas kerentanan ini yang memengaruhi Windows atau infrastruktur layanan cloud kami. Kami berkomitmen untuk memberikan mitigasi lebih lanjut kepada pelanggan kami segera setelah tersedia, dan kebijakan standar kami untuk masalah berisiko rendah adalah menyediakan remediasi melalui jadwal Update Tuesday kami.”
Kabar baiknya adalah prosesor masa depan harus kebal terhadap Meltdown, Spectre, dan semua sekuelnya. Untuk bagian Intel, prosesor Xeon generasi berikutnya (Cascade Lake) dan prosesor Intel Core generasi ke-8 akan menyertakan perlindungan perangkat keras bawaan saat dikirimkan akhir tahun ini.
