These are all contents from amtech.vn - Giải đáp thắc mắc về công nghệ tagged lỗ hổng.
Hôm nay, Microsoft đã trình làng bản cập nhật mới tăng cường bảo mật cho hệ thống người dùng ngăn chặn kẻ tấn công khai thác lỗ hổng Spectre và Meltdown ở cấp độ hệ điều hành. Tuy nhiên, các bản cập nhật phần cứng đặc biệt liên quan đến chỉnh sửa BIOS hệ thống rất khó để triển khai và phân phối đến các chuỗi cung ứng linh kiện máy tính. Đó là một trong những lý do mà Microsoft chỉ mới đưa ra các bản cập nhật phần mềm dành cho hệ thống sử dụng nền tảng của Intel. [img] Bản vá mới của Microsoft sẽ cung cấp thông tin cập nhật microcode của CPU trên nền tảng phần mềm, và hoạt động ở cấp độ hệ điều hành để chặn các lỗ hổng bảo mật xuất hiện trên chip xử lý Intel chưa được vá lại. Lý do cho việc này có thể là Intel tiêu tốn quá nhiều thời gian để triển khai các bản vá lỗi đến những hệ thống có nguy cơ bị tấn công, hoặc nhà sản xuất thiết bị gốc (OEM) chưa có động thái cập nhật microcode cho chip xử lý thông qua BIOS. Do bản vá này của Microsoft chỉ ở cấp độ phần mềm nên bạn có thể tải về và cài đặt tại đường link này, và lưu ý bản vá trên chỉ có thể áp dụn cho số phiên bản 1709 của Windows 10 và Windows Server. [IMG] Nguồn: TechPowerUp
Ngày nay, các công ty công nghệ hàng đầu Trung Quốc có mối liên kết chặt chẽ với bộ máy chính quyền quốc gia này là điều hết sức bình thường. Tuy nhiên, việc Intel, nhà sản xuất chip xử lý hàng đầu thế giới của Mỹ đã cảnh báo lỗ hổng Meltdown và Spectre cho các công ty công nghệ Trung Quốc trước, thay vì chính quyền Mỹ là rất bất thường. Điều này đã dẫn đến chính quyền Trung Quốc có cơ hội kiểm tra bảo mật và tái cấu trúc hạ tầng IT của nước này trước khi Mỹ có những động thái tương tự. [img] Lenovo và Alibaba là những công ty công nghệ đầu tiên của Trung Quốc được Intel thông báo lỗ hổng Meltdown và Spectre; cần lưu ý Lenovo hiện là đối tác sản xuất máy tính OEM lớn nhất của Intel trong khi đó, Alibaba đang là nền tảng thương mại điện tử và dịch vụ cung cấp giải pháp điện toán đám mây lớn nhất thế giới. Cả hai đều được cho là có mối quan hệ mật thiết với chính quyền Trung Quốc. Nguồn: TechPowerUp
Cuối cùng, sau nhiều lần lắng nghe phản hồi từ người dùng về việc hệ thống của họ thường xuyên khởi động lại khi cài đặt bản vá lỗ hổng Meltdown, Spectre, Intel đã chính thức thừa nhận lỗi này và khuyên người dùng tạm thời dừng cập nhật cho đến khi họ tung ra bản vá lỗi tiếp theo. Nội dung của thông cáo báo chí mà Intel gửi đến các đối tác truyền thông như sau: [img] "Trong tuần này, chúng tôi đã có vài thông tin cập nhật về lỗi khởi động lại hệ thống đã được người dùng thông báo vào hôm 11/1 vừa qua. Chúng tôi đã phát hiện nguyên nhân cốt lõi của lỗi này nằm ở nền tảng Broadwell và Haswell, và hiện tại quá trình phát triển bản vá tiếp theo đang tiến triển rất tốt. Qua tuần này, chúng tôi có thể tung ra bản cập nhật chưa đầy đủ dành cho các đối tác doanh nghiệp để thử nghiệm, và Intel sẽ sớm công bố phiên bản cuối cùng của bản vá này khi mọi phép thử nghiệm đã hoàn thành. Trong thời điểm hiện tại, chúng tôi sẽ đưa ra những hướng dẫn dành cho khách hàng và đối tác của chúng tôi như sau: Chúng tôi khuyến nghị các nhà sản xuất thiết bị gốc (OEM), nhà cung cấp dịch vụ đám mây, nhà sản xuất hệ thống máy tính, nhà phát triển phần mềm và người dùng cuối dừng thao tác cập nhật các bản vá lỗi hiện tại, khi chúng đã gây ra quá nhiều lỗi khởi động lại cũng như vài hành vi hệ thống không thể lường trước được. Các nền tảng vi xử lý bị ảnh hưởng, quý vị có thể tham khảo tại đây. Chúng tôi đề nghị các đối tác doanh nghiệp của mình hãy tập trung mọi nỗ lực để thử nghiệm các phiên bản cập nhật chưa đầy đủ để chúng tôi có thể đẩy nhanh tiến trình đưa ra bản cập nhật cuối cùng. Cuối tuần này chúng tôi có thể chia sẻ thông tin chi tiết hơn về bản vá lỗi này. Cuối cùng, chúng tôi rất mong các khách hàng hãy luôn thực hiện các thao tác bảo mật hệ thống thật tốt và luôn cập nhật hệ thống đầy đủ. Nguồn: TechPowerUp
Sự cố lỗi chip Intel có vẻ trầm trọng hơn nhiều khi các chuyên gia khuyến cáo cách duy nhất để giải quyết vấn đề là thay CPU mới, đồng thời chỉ trích thái độ của Intel. Trung tâm ứng cứu khẩn cấp máy tính (CERN) Mỹ vừa cho biết hướng khắc phục hai lỗ hổng Meltdown và Spectre trên chip Intel hiện chỉ mang tính tạm thời. Để giải quyết triệt để vấn đề này chỉ có cách duy nhất là thay chip mới. Hiện Intel và đối tác mới chỉ đưa ra giải pháp bịt lỗ hổng Meltdown và Spectre bằng phần mềm. Thế nhưng, miếng vá bảo mật này lại tiềm ẩn rủi ro, cụ thể là nguy cơ khiến hiệu suất hệ thống giảm tới 30%. Miếng vá làm chậm máy [img] Hiệu năng máy tính Windows dùng chip Intel có thể giảm 30% nếu dùng bản vá lỗi. Theo phân tích của nhiều chuyên gia bảo mật độc lập, bản thân bản vá lỗi chip Intel có thể khiến hệ thống chạy chậm 5-30%, và điều này rất khó chấp nhận. Hiện Microsoft đã phát hành bản vá lỗi cho máy tính Windows 10, đồng thời có kế hoạch cập nhật Windows 7 và Windows 8 trong thời gian sớm nhất. Về phần Intel, hãng sẽ đưa ra hướng giải quyết cụ thể trong tuần tới. Tạm thời, giải pháp được tính đến là dùng phần mềm sửa lỗi. Hầu hết mẫu chip Intel sản xuất trong vòng 20 năm qua đều dính lỗi Meltdown. Trong khi đó, Spectre xuất hiện trên cả chip Intel, AMD và ARM. Dải sản phẩm ảnh hưởng rất rộng, từ smartphone, máy tính bảng tới laptop, PC và máy chủ Internet. Meltdown và Spectre cho phép tin tặc xâm nhập vào bộ nhớ hệ thống để đánh cắp dữ liệu nhạy cảm như mật khẩu, bản ghi dữ liệu, thông tin bí mật và các tệp tin quan trọng khác. Trong thông báo gần nhất, Intel bác bỏ thông tin cho rằng vá lỗi chip sẽ làm giảm hiệu năng hệ thống. Tuy nhiên, khẳng định này không đủ sức thuyết phục giới chuyên gia. Giải pháp đớn đau Trong khi Intel khăng khăng sự cố mới nhất không ảnh hưởng gì nhiều, giới công nghệ lại chỉ ra điều ngược lại. CERN Mỹ khẳng định rằng tất cả các giải pháp khắc phục bằng phần mềm hiện tại đều vô nghĩa. Nó chỉ giải quyết phần ngọn mà không loại trừ được phần gốc. Hướng giải quyết duy nhất, một lần và mãi mãi, là thay CPU mới. Giải pháp này sẽ được các doanh nghiệp, công ty lớn và tổ chức chính phủ cân nhắc cho dù tốn kém. Rõ ràng, một hệ thống tiềm ẩn nguy cơ là điều khó chấp nhận với các tổ chức này. Trong khi đó, người dùng cá nhân không có điều kiện sẽ phải chấp nhận dùng bản vá lỗi phần mềm. Tuy không triệt để nhưng cách thức này cũng hạn chế tối đa nguy cơ Meltdown và Spectre gây ra. Intel bị cha đẻ Linux mắng nhiếc [img] Linus Torvalds lớn tiếng chỉ trích cách giải quyết vấn đề của Intel. Trong số tiếng nói chỉ trích Intel mạnh nhất phải kể đến Linus Torvalds, cha đẻ hệ điều hành Linux. Ông này lớn tiếng chê trách cách giải quyết vấn đề của Intel, đồng thời cho rằng Intel đang cố tình làm giảm tính nghiêm trọng của sự việc. “Tôi nghĩ ai đó của Intel cần nghiêm túc nhìn nhận lại sự việc, dũng cảm thừa nhận họ đang gặp vấn đề thay vì đưa ra thông tin PR chung chung rằng mọi thứ vẫn ổn”, Torvalds viết trong e-mail gửi đối tác Linux ngày 4/1. “Hay Intel có thể nói ‘chúng tôi cam kết bán cho bạn thứ vớ vẩn và không bao giờ sửa chữa bất cứ thứ gì’”, Torvalds tỏ ra gay gắt. Là một trong số các nhà lập trình nổi tiếng nhất thế giới, Torvalds vẫn liên quan mật thiết tới phát triển Linux, hệ điều hành nguồn mở miễn phí được ông công bố năm 1991. Linux được ứng dụng nhiều nhất cho máy chủ và siêu máy tính, mặc dù một số người vẫn dùng hệ điều hành này thay thế cho Windows hoặc macOS. Hai lỗ hổng Meltdown và Spectre có trong vi xử lý Intel thường được dùng cho laptop chạy Windows. Ngoài ra, dòng chip Intel có vấn đề còn xuất hiện trên cả máy chủ Linux vận hành rất nhiều website và dịch vụ điện toán đám mây lớn hiện nay. Intel nói rằng hãng đang làm việc với đối tác và đối thủ để khắc phục vấn đề. Spectre còn ảnh hưởng tới cả chip AMD và ARM nhưng khó bị khai thác hơn Meltdown, vốn chỉ có trên chip Intel. Torvalds phụ trách nhân Linux nên ông hoàn toàn có quyền xử lý vấn đề. Torvalds không thích cách nói của Intel bởi Linux là nền tảng mở và ông không làm việc cho các công ty lớn như Google hay Microsoft, vốn là đối tác của Intel. Nói một cách dễ hiểu, Torvalds không sợ mất lòng Intel, trong khi Google và Microsoft phải ăn nói nhỏ nhẹ. Ở thời điểm hiện tại, cả Google và Microsoft chưa đưa ra bình luận nào về sự cố này. Dựa trên các phân tích ban đầu, nếu bản vá lỗi làm chip Intel chậm 30%, Torvalds cho rằng chip của ARM sẽ là giải pháp tốt hơn cho các nhà phát triển Linux. Sếp Intel bán sạch cổ phiếu sau sự cố lỗi chip [img] CEO Intel, Brian Krzanich, đã kịp tẩu tán lượng lớn cổ phiếu trước khi scandal lỗi chip lộ ra ngoài. CEO Intel, Brian Krzanich, đã bán sạch 23 triệu USD cổ phiếu từ tháng 11/2017, nhiều tháng sau khi ông này được thông báo về vụ việc. Sự cố lỗi chip Intel tuy mới được công khai ra dư luận nhưng Intel đã được Google thông báo từ tháng 6/2017. Mặc dù đại diện Intel nói rằng động thái bán lượng lớn cổ phiếu của lãnh đạo nằm trong kế hoạch từ trước nhưng tờ tin Business Insider chỉ ra rằng kế hoạch này mới chỉ có từ cuối tháng 10/2017. Và như vậy, có sự giấu giếm ở đây và đương nhiên hành động của Brian Krzanich không được đối tác đánh giá cao. Chắc chắn, CEO này đã lường trước tình thế hiểm nghèo và có động thái “chạy làng” trước khi cổ phiếu Intel rớt thảm. Nguồn: Zing.vn
Google là một trong những doanh nghiệp trực tuyến lớn nhất thế giới. Tuy nhiên, ngay cả những công ty hùng mạnh Mountain View cũng không thể miễn nhiễm với tin tặc (Những kẻ mang tên Chinese attackers và NSA). Kết quả, google đã bắt tay vào một loạt các hỗ trợ trong những tháng gần đây để thúc đẩy hệ thống an ninh nội bộ của mình, cũng như cải thiện an ninh trên toàn bộ Internet. Và hiện tại dự án lớn nhất và mới nhất mang tên "Project Zero". [IMG] Dự án này chính thức được công bố vào ngày 15/7 trên blog bảo mật trực tuyến của google, nỗ lực này là một Team mới của các kỹ sư bảo mật chuyên dụng có nhiệm vụ giảm số lượng các "Zero day" những lỗ hổng trong Web. "Zero day, lỗ hổng" liên quan trực tiếp đến những sai sót trong phần mềm và dịch vụ chưa được cố định, cho phép Hacker dễ dàng khai thác chúng. Chuyện này có thể xảy ra trong các chương trình cụ thể hay các trang web, hay trên những phần mềm được sử dụng trên web. Google đã từng bị ảnh hưởng bởi Heartbleed và đang làm việc để xác định lại lỗ hổng bảo mật,tiếp đó sẽ quét bảo mật như trước khi tin tặc tấn công. Chris Evans của google viết trong các bài đăng trên blog về dự án "Chúng tôi không đặt bất kì giới hạn cụ thể về dự án này và sẽ làm việc để cải thiện an ninh của mất kì phần mềm nào người dùng sử dụng". Khi nhóm tìm thấy lỗ hổng mới họ sẽ thông báo cho công ty hoặc tổ chức bị ảnh hưởng đầu tiên. Sau khi công ty bị ảnh hưởng yêu cầu được sữa chữa, google sẽ gởi sữa chữa và lỗ hổng trên trên dạng cơ sở dữ liệu, vì vậy tất cả các người dùng công ty hay tổ chức có thể vá lỗ hổng của riêng họ. Google cho biết họ đang tích cự tuyển dụng cho đội "Project Zero", nếu nó hoạt động như google hj vọng các cuộc tấn công "Zero day" trên web sẹ ít hơn và xa hơn nữa, tốt hơn cho kinh doanh của công ty. Nguồn: theverge
Dãn cách tên bằng dấu phẩy(,).
