Một số nhà nghiên cứu từ 7 trường đại học Mỹ vừa phát hiện một lỗ hổng bảo mật cực kì nghiêm trọng trên những chiếc máy Mac Apple Silicon, từ thế hệ M1 đến bây giờ và lỗ hổng này không thể vá được trong những bản cập nhật phần mềm, liên quan đến việc nạp dữ liệu vào bộ nhớ cache của CPU để tăng tốc độ xử lý.
Công nghệ nạp trước dữ liệu trên bộ nhớ (Data memory-dependent prefetcher) hay DMP xuất hiện không chỉ trên những con chip Apple Silicon mà còn xuất hiện trên những thế hệ CPU Intel Raptor Lake (thế hệ 13) và Raptor Lake-Refresh (thế hệ 14), nhưng hai thế hệ CPU của Intel lại không bị ảnh hưởng. DMP có nhiệm vụ nạp trước một số thành phần, nội dung và dữ liệu vào trong bộ nhớ cache của CPU, bằng cách dự đoán trước những thứ mà có thể cần thiết khi người dùng sử dụng máy tính, giảm độ trễ giữa bộ nhớ máy tính và CPU, giúp tăng hiệu suất xử lý nói chung của máy tính, đặc biệt là khả năng mã hoá dữ liệu.
Tuy nhiên, sự cố phát sinh từ một "bug" ở trong DMP. Giải thích thì khá là rắc rối vì nó mang tính kỹ thuật chuyên môn liên quan đến bảo mật, bạn có thể hiểu một cách đơn giản nhất là một số dữ liệu được lưu trữ trong con chip đôi khi bị nhầm lẫn với địa chỉ bộ nhớ (memory address) và nó được đưa vào bộ nhớ đệm. Nếu một ứng dụng độc hại được xây dựng để khai thác lỗ hổng này, tức là ép buộc lỗi này xảy ra nhiều lần thì theo thời gian, hacker có thể giải mã được các encryption key và lấy trộm thông tin của người dùng. Thêm nữa là lỗ hổng này hoàn toàn vượt qua được các bước bảo mật của phần mềm, hay là ảnh hưởng đến các thuật toán mã hoá tốt nhất hiện tại, ví dụ nhóm nghiên cứu chỉ mất 54 phút để có được khoá bảo mật Kyber-512 hay 10 tiếng để lấy được khoá Dilithium-2, hoặc chỉ mất hai giờ để có được khoá Diffie-Hellman 2048 bit, vốn là các công nghệ mã hoá hiện đại ngày nay và nó được sinh ra để chống các cuộc tấn công bằng máy tính lượng tử ở tương lai.
Anh em có thể đọc kỹ hơn ở nguồn bên dưới từ ArsTechnica, nếu anh em nào có chuyên môn về vấn đề này có thể giải thích bên dưới giúp mình nhé.
Vấn đề phát sinh từ một "bug" trong DMP
Công nghệ nạp trước dữ liệu trên bộ nhớ (Data memory-dependent prefetcher) hay DMP xuất hiện không chỉ trên những con chip Apple Silicon mà còn xuất hiện trên những thế hệ CPU Intel Raptor Lake (thế hệ 13) và Raptor Lake-Refresh (thế hệ 14), nhưng hai thế hệ CPU của Intel lại không bị ảnh hưởng. DMP có nhiệm vụ nạp trước một số thành phần, nội dung và dữ liệu vào trong bộ nhớ cache của CPU, bằng cách dự đoán trước những thứ mà có thể cần thiết khi người dùng sử dụng máy tính, giảm độ trễ giữa bộ nhớ máy tính và CPU, giúp tăng hiệu suất xử lý nói chung của máy tính, đặc biệt là khả năng mã hoá dữ liệu.
Tuy nhiên, sự cố phát sinh từ một "bug" ở trong DMP. Giải thích thì khá là rắc rối vì nó mang tính kỹ thuật chuyên môn liên quan đến bảo mật, bạn có thể hiểu một cách đơn giản nhất là một số dữ liệu được lưu trữ trong con chip đôi khi bị nhầm lẫn với địa chỉ bộ nhớ (memory address) và nó được đưa vào bộ nhớ đệm. Nếu một ứng dụng độc hại được xây dựng để khai thác lỗ hổng này, tức là ép buộc lỗi này xảy ra nhiều lần thì theo thời gian, hacker có thể giải mã được các encryption key và lấy trộm thông tin của người dùng. Thêm nữa là lỗ hổng này hoàn toàn vượt qua được các bước bảo mật của phần mềm, hay là ảnh hưởng đến các thuật toán mã hoá tốt nhất hiện tại, ví dụ nhóm nghiên cứu chỉ mất 54 phút để có được khoá bảo mật Kyber-512 hay 10 tiếng để lấy được khoá Dilithium-2, hoặc chỉ mất hai giờ để có được khoá Diffie-Hellman 2048 bit, vốn là các công nghệ mã hoá hiện đại ngày nay và nó được sinh ra để chống các cuộc tấn công bằng máy tính lượng tử ở tương lai.
Anh em có thể đọc kỹ hơn ở nguồn bên dưới từ ArsTechnica, nếu anh em nào có chuyên môn về vấn đề này có thể giải thích bên dưới giúp mình nhé.
Các nhà nghiên cứu cũng tạo ra GoFetch, một ứng dụng để khai thác thành công lỗ hổng này và đã báo cáo với Apple từ tháng 12, nhưng đến bây giờ vẫn chưa thấy được các hướng giải quyết từ hãng. Đây cũng không phải là lần đầu tiên lỗ hổng DMP này được khai thác, trước đó vào năm 2022 cũng đã có một nhóm khác tìm ra lỗ hổng liên quan đến DMP và họ đặt tên là Augury.
Vậy nếu đây là lỗ hổng không thể vá thì Apple có thể làm được gì?
Theo các nhà nghiên cứu bảo mật, có nhiều cách mà Apple có thể làm nhưng cách nào cũng sẽ làm ảnh hưởng đến hiệu năng mã hoá của con chip, chỉ có thế hệ M3 mới vừa ra mắt có một tính năng đặc biệt mà các nhà phát triển có thể sử dụng để tắt DMP, mà DMP cũng chỉ được trang bị trên các nhân P-core của con chip mà thôi. Sau cùng, cách hữu hiệu nhất là Apple thay đổi về kiến trúc của chip để khắc phục lỗ hổng này trong các thế hệ chip M-series tiếp theo.
Người dùng có nên lo lắng về lỗ hổng này hay không?
Dù Apple có triển khai một biện pháp nào để bảo vệ người dùng thì nó cũng sẽ ảnh hưởng đến hiệu năng khi máy tính phải thực hiện các hoạt động mã hoá nào đó, còn lại thì không ảnh hưởng đáng kể.
Kế đến, hacker cần người dùng phải cài đặt ứng dụng độc hại lên máy tính và phải cần người dùng sử dụng chúng trong một khoảng thời gian nhất định để có thể lấy được khoá mã hoá. Các báo cáo cũng cho biết lỗ hổng Augury được phát hiện từ năm 2022, đã thông báo cho Apple nhưng hãng cũng không thực hiện các biện pháp nào để giảm thiểu ảnh hưởng từ lỗ hổng này.
Tuy nhiên, thực tế thì chúng ta cũng nên cẩn thận trước những phần mềm không rõ nguồn gốc được cài đặt vào máy tính Mac, macOS cũng đã có những biện pháp ngăn chặn ban đầu về việc cài đặt phần mềm không rõ nguồn gốc, các phần mềm bị "bẻ khoá" bản quyền…Tốt nhất là cài đặt phần mềm từ những nguồn có uy tín, có bản quyền đầy đủ.
ArsTechnica.
Khóa học Machine Learning cơ bản- Khoa học dữ liệu - AI 
==***==
Khoá học Quản trị Chiến lược Dành cho Lãnh đạo Doanh nghiệp
==***==
Nơi hội tụ Tinh Hoa Tri Thức - Khơi nguồn Sáng tạo
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
---
Khóa học Hacker và Marketing từ A-Z trên ZALO!
Khóa học Hacker và Marketing từ A-Z trên Facebook!
Bảo mật và tấn công Website - Hacker mũ trắng
KHÓA HỌC LẬP TRÌNH PYTHON TỪ CƠ BẢN ĐẾN CHUYÊN NGHIỆP 
Khóa học Lập trình Visual Foxpro 9 - Dành cho nhà quản lý và kế toán 
Khóa học hướng dẫn về Moodle chuyên nghiệp và hay Xây dựng hệ thống đào tạo trực tuyến chuyên nghiệp tốt nhất hiện nay. 
Khóa học AutoIt dành cho dân IT và Marketing chuyên nghiệp 
Khoá học Word từ cơ bản tới nâng cao, học nhanh, hiểu sâu 
Khóa học hướng dẫn sử dụng Powerpoint từ đơn giản đến phức tạp HIỆU QUẢ 
Khóa học Thiết kế, quản lý dữ liệu dự án chuyên nghiệp cho doanh nghiệp bằng Bizagi 
Khóa học Phân tích dữ liệu sử dụng Power Query trong Excel 
Khóa học Lập trình WEB bằng PHP từ cơ bản đến nâng cao 
Khóa học Phân tích dữ liệu sử dụng SPSS - Chìa khóa thành công!
Khóa học "Thiết kế bài giảng điện tử", Video, hoạt hình kiếm tiền Youtube bằng phần mềm Camtasia Studio 
Khóa học HƯỚNG DẪN THIẾT KẾ VIDEO CLIP CHO DÂN MARKETING CHUYÊN NGHIỆP 
HƯỚNG DẪN THIẾT KẾ QUẢNG CÁO VÀ ĐỒ HỌA CHUYÊN NGHIỆP VỚI CANVA Hãy tham gia khóa học để trở thành người chuyên nghiệp. Tuyệt HAY!😲👍 
GOOGLE SPREADSHEETS phê không tưởng 
Hãy tham gia khóa học để biết mọi thứ
Khóa học Ba, Mẹ và Bé - Cùng bé lập trình TUYỆT VỜI
Khóa học sử dụng Adobe Presenter-Tạo bài giảng điện tử 
Để thành thạo Wordpress bạn hãy tham gia khóa học 
Khóa học sử dụng Edmodo để dạy và học hiện đại để thành công 
==***== Bảo hiểm nhân thọ - Bảo vệ người trụ cột 
Cập nhật công nghệ từ Youtube tại link: congnghe.hocviendaotao.com
Tham gia nhóm Facebook
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
Bảo mật và tấn công Website - Hacker mũ trắng
KHÓA HỌC LẬP TRÌNH PYTHON TỪ CƠ BẢN ĐẾN CHUYÊN NGHIỆP
Khóa học AutoIt dành cho dân IT và Marketing chuyên nghiệp
Khoá học Word từ cơ bản tới nâng cao, học nhanh, hiểu sâu
Khóa học hướng dẫn sử dụng Powerpoint từ đơn giản đến phức tạp HIỆU QUẢ
Khóa học Thiết kế, quản lý dữ liệu dự án chuyên nghiệp cho doanh nghiệp bằng Bizagi
Khóa học Phân tích dữ liệu sử dụng Power Query trong Excel
Khóa học Lập trình WEB bằng PHP từ cơ bản đến nâng cao
Khóa học Phân tích dữ liệu sử dụng SPSS - Chìa khóa thành công!
kiếm tiền Youtube bằng phần mềm Camtasia Studio
Khóa học HƯỚNG DẪN THIẾT KẾ VIDEO CLIP CHO DÂN MARKETING CHUYÊN NGHIỆP
HƯỚNG DẪN THIẾT KẾ QUẢNG CÁO VÀ ĐỒ HỌA CHUYÊN NGHIỆP VỚI CANVA
Hãy tham gia khóa học để trở thành người chuyên nghiệp. Tuyệt HAY!😲👍
GOOGLE SPREADSHEETS phê không tưởng
Hãy tham gia khóa học để biết mọi thứ
Khóa học Ba, Mẹ và Bé - Cùng bé lập trình TUYỆT VỜI
Khóa học sử dụng Adobe Presenter-Tạo bài giảng điện tử
Để thành thạo Wordpress bạn hãy tham gia khóa học
Khóa học sử dụng Edmodo để dạy và học hiện đại để thành công
==***==
Bảo hiểm nhân thọ - Bảo vệ người trụ cột
Tham gia nhóm Facebook
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
Nguồn: Tinh Tế
Topics: Công nghệ mới
