Apple tung bản vá cho iPhone, Mac trước nguy cơ lỗi chip 'Spectre'
(ICTPress) - Apple sẽ tung ra bản vá cho trình duyệt web Safari trên iPhone, iPad và máy Mac trong vòng vài ngày, hãng này vừa cho biết sau khi các nhà sản xuất chip tiết lộ các lỗi mà làm cho gần như tất cả các thiết bị điện toán hiện đại có nguy cơ bị tấn công.
Các nhà sản xuất trình duyệt Google, Microsoft Corp và Firefox của Mozilla đều khẳng định với Reuters là các bản vá gần đây không bảo vệ được người sử dụng iOS. Với Safari và hầu hết các trình duyêt phổ biến không được vá, hàng trăm triệu người dùng iPhone và iPad không có các phương thức trình duyệt web an toàn cho tới khi Apple phát hành bản vá này.
Apple nhấn mạnh là hiện chưa có tin tặc nào tận dụng cơ hội này.
Ngày 4/1, Google và các nhà nghiên cứu an ninh khác đã tiết lộ 2 lỗi chip lớn, một lỗi gọi là Meltdown, ảnh hưởng duy nhất đến các chip của Intel và một lỗi gọi là Spectre ảnh hưởng đến gần như hầu hết các chip máy tính được sản xuất trong thập kỷ vừa qua.
Trong một thông báo trên trang web của mình, Apple cho biết tất cả các thiết bị Mac và iOS đều bị ảnh hưởng bởi cả Meltdown và Spectre. Nhưng phần lớn các cập nhật hệ điều hành gần đây nhất cho các máy tính Mac, tivi Apple, iPhone và iPad bảo vệ người dùng chống lại tấn công Meltdown và không làm chậm các thiết bị, Apple cho biết thêm và Meltdown không ảnh hưởng đến Apple Watch.
Các máy Mac và iOS có nguy cơ trước các cuộc tấn công Spectre thông qua mã có thể chạy trên các trình duyệt web. Apple cho biết sẽ phát hành bản vá cho trình duyệt web Safari cho những thiết bị “trong những ngày tới”.
Ngay sau khi các nhà nghiên cứu tiết lộ các chip ngày 4/1 vừa qua, Google và Microsoft đã có các công bố thông báo cho người dùng về các sản phẩm của họ bị ảnh hưởng. Google cho biết người sử dụng điện thoại Android – hơn 80% thị phần toàn cầu – sẽ được bảo vệ nếu họ cập nhật tính năng an ninh mới nhất.
Apple vẫn giữ im lặng sau hơn 1 ngày về tình trạng hàng trăm triệu người sử dụng iPhone và iPad. Ben Johnson, đồng sáng lập và Giám đốc chiến lược của hãng an ninh mạng Carbon Black cho biết việc chậm trễ trong việc cập nhật cho khách hàng về việc các thiết bị Apple có rủi ro hay không có thể ảnh hưởng đến động thái của Apple để có nhiều khách hàng doanh nghiệp hơn chấp nhận phần cứng của hãng này.
Các nhà nghiên cứu an ninh ngày 4/5 vừa tiết lộ một loạt các lỗ hổng an ninh mà họ cho biết có thể cho phép tin tặc đánh cắp các thông tin nhạy cảm từ gần như hầu hết các thiết bị điện toán có chip từ Intel, Advanced Micro Devices và ARM Holdings. Một trong những lỗ hổng này liên quan đến Intel, lỗ hổng còn lại liên quan tới máy tính xách tay, máy tính để bàn, smartphone, máy tính bảng và các server Internet khác. Intel và ARM cũng khẳng định vấn đề không phải là lỗi thiết kế, mà sẽ yêu cầu người sử dụng tải về một miếng vá và cập nhật hệ điều hành để sửa.
“Điện thoại, PC, mọi thứ sẽ có một số ảnh hưởng, nhưng sẽ tùy theo từng sản phẩm”, CEO Intel Brian Krzanich cho biết trong một phỏng vấn với CNBC ngày 4/1. Các nhà nghiên cứu từ dự án Google Zero của Alphabet hợp tác với các nhà nghiên cứu chuyên ngành và học thuật từ nhiều quốc gia đã phát hiện ra hai lỗi này.
Các nhà nghiên cứu cho biết Apple và Microsoft đã có các miếng vá sẵn sàng cho các máy tính để bàn bị ảnh hưởng bởi Meltdown. Microsoft cho biết một “phần lớn” của các dịch vụ đám mây Azure được các doanh nghiệp sử dụng đã được vá, được bảo vệ và công ty này đang phát hành một bản cập nhật an ninh Windows. “Chúng tôi đã chưa nhận được bất cứ thông tin nào cho biết các lỗ hổng này đã được sử dụng để tấn công các khách hàng của chúng tôi”, Microsoft cho biết trong một thông báo.
Daniel Gruss, một trong những nhà nghiên cứu tại Đại học công nghệ Graz đã phát hiện ra Meltdown gọi lỗi này “có thể là một trong những lỗ hổng CPU tồi tệ nhất đã được phát hiện” trong một phỏng vấn với Reuters. Gruss cho biết Meltdown là một trong những vấn đề nghiêm trọng nhiều hơn trong ngắn hạn nhưng có thể bị ngăn chặn bởi các miếng vá phần mềm. Spectre, lỗ hổng lớn hơn đã được áp dụng cho gần như hầu hết các thiết bị điện toán, gây khó khăn hơn cho các tin tặc tận dụng nhưng khó vá hơn và sẽ là một vấn đề lớn hơn về lâu dài, nhà nghiên cứu này cho biết.
Trao đổi trên CNBC, Krzanich của Intel cho biết các nhà nghiên cứu của Google thông báo cho Intel biết những lỗi này “đã có một thời gian” và Intel đã đang sửa các lỗi mà các nhà sản xuất thiết bị sử dụng các chip của Intel sẽ công bố vào tuần tới. Trước khi các vấn đề được đưa ra trước công chúng, Google trên trang blog của mình cho biết Intel và các công ty dự định công bố các vấn đề này vào ngày 9/1.
Các lỗi này được công bố lần đầu bởi ấn phẩm công nghệ The Register. Ấn phẩm này cũng cho biết các cập nhật để sửa các lỗi có thể làm cho các chip Intel hoạt động 5 – 30% chậm hơn. Intel đã phủ nhấn các miếng vá sẽ làm chậm các máy tính chạy chip Intel.
“Intel bắt đầu cung cấp các cập nhật phần mềm và phần sụn để giảm thiểu các khai thác này”, Intel cho biết trong một thông báo. Khác với một số thông tin đã được bất cứ các tác động hiệu suất nào phụ thuộc vào tải làm việc và đối với người sử dụng máy tính bình thường thì không đáng kể và sẽ được giảm thiểu theo thời gian.
Phát ngôn viên của ARM Phil Hughes cho biết các miếng vá đã được các đối tác của công ty, bao gồm nhiều nhà sản xuất smartphone cùng chia sẻ. “Phương pháp này chỉ có thể vận hành nếu một mã độc hại cụ thể đã chạy trên một thiết bị vào tồi thể có thể tạo ra các dữ liệu có thể truy cập từ bộ nhớ ưu tiên”, Hughes cho biết trong một email. Các chip AMD cũng bị ảnh hưởng bởi ít nhất một lỗi an ninh. Công ty này cho biết tin tưởng là sẽ không có rủi ro nào đối với các sản phẩm AMD vào lúc này”.
Google cho biết trong một đăng tải blog là điện thoại Android chạy các cập nhật an ninh mới nhất sẽ được bảo vệ khi các điện thoại này là các điện thoại Nexus và Pixel bằng các cập nhật an ninh mới nhất. Người sử dụng Gmail không cần phải thực hiện thêm hành động nào để tự bảo vệ chính họ nhưng người sử dụng các trình duyệt Chromebooks, Chrome web và người sử dụng các dịch vụ Google Cloud đã cài đặt các hệ điều hành riêng sẽ cần cài đặt các cập nhật.
QM (Theo Reuters)