Việt Nam cảnh báo điểm yếu nghiêm trọng trong các chip PC, smartphone
(ICTPress) - Cục An toàn thông tin (ATTT), Bộ TTTT vừa có công văn gửi các đơn vị chuyên trách về CNTT các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ; Sở TT&TT các tỉnh, thành phố trực thuộc Trung ương; Các Tập đoàn, Tổng công ty nhà nước; Các Ngân hàng TMCP; Các tổ chức tài chính về cảnh báo điểm yếu ATTT nghiêm trọng trong các bộ vi xử lý.
Ngày 03/01/2018, các chuyên gia về ATTT của Google công bố một nhóm gồm 03 điểm yếu ATTT trong các bộ vi xử lý cho phép bất kỳ ứng dụng nào cũng có thể truy cập vào các vùng nhớ để lấy thông tin của hệ thống và thông tin của các các ứng dụng khác (thay vì chỉ được truy cập vào vùng nhớ cấp cho ứng dụng).
Các điểm yếu ATTT trên có mã lỗi quốc tế là: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754. Các điểm yếu ATTT này được các chuyên gia đánh giá là nghiêm trọng và có ảnh hưởng tới nhiều thiết bị, bao gồm: máy tính để bàn, máy tính xách tay, máy chủ, điện thoại di động sử dụng các hệ điều hành Linux, Windows, MacOS.
Có 2 hình thức tấn công lợi dụng điểm yếu ATTT này đang được các chuyên gia đánh giá gồm:
Hình thức tấn công được gọi là Meltdown: theo các chuyên gia, hình thức tấn công này có thể phá vỡ cơ chế bảo vệ vùng nhớ hệ thống, giúp cho các ứng dụng truy cập được vào các vùng nhớ hệ thống để lấy các thông tin như: mật khẩu, khóa đăng nhập, các thông tin được lưu trong bộ nhớ đệm .v.v...
Hình thức tấn công được gọi là Spectre: tương tự như Meltdown, hình thức tấn công này có thể cho phép các ứng dụng truy cập vào vị trí bất kỳ trên bộ nhớ. Hình thức tấn công này có thể khai thác trên hầu hết các bộ vi xử lý hiện đại (Intel, AMD, ARM).
Các hãng sản xuất bộ vi xử lý Intel, AMD và ARM đã có xác nhận và bắt đầu đưa ra bản vá.
Việc cập nhật bản vá có thể thực hiện thông qua bản vá của hệ điều hành, hoặc nâng cấp thiết bị phần cứng, do vậy với máy tính, thiết bị bị ảnh hưởng có thể thực hiện cập nhật bản vá khi chưa có điều kiện nâng cấp bộ vi xử lý. Hiện nay các nhà sản xuất bộ vi xử lý cũng đang phối hợp với các hãng phần mềm để đưa ra bản vá cho hệ điều hành.
Nhằm bảo đảm ATTT và phòng tránh việc đối tượng tấn công lợi dụng điểm yếu ATTT để thực hiện những cuộc tấn công mạng nguy hiểm, Cục ATTT khuyến nghị các quản trị viên tại các cơ quan, đơn vị và người dùng thực hiện:
Kiểm tra và cập nhật bản vá hoặc nâng cấp các hệ điều hành để tạm thời vá các điểm yếu an toàn thông tin trên. Khuyến cáo bật chức năng tự động cập nhật bản vá trên các thiết bị để đồng thời cập nhật các điểm yếu ATTT khác ngay khi có bản vá.
Đối với các hệ điều hành chưa có thông tin về bản vá cần theo dõi thường xuyên để nâng cấp ngay khi có biện pháp.
Thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin nhằm đối phó kịp thời với các nguy cơ tấn công mạng.
Khi triển khai các nội dung nêu trên, trong trường hợp cần thiết, Quý đơn vị có thể liên hệ với Cục ATTT, số điện thoại: 024.3943.6684, thư điện tử ais@mic.gov.vn để được phối hợp, hỗ trợ.
Minh Anh