Các lỗi phần cứng mới đã được báo cáo ảnh hưởng đến bộ vi xử lý. Những cái được thiết kế bởi Intel, AMD và ARM. Các lỗi bảo mật này đã được Google’s Project Zero báo cáo. Và đã được gọi là một trong những lỗi tấn công CPU tồi tệ nhất từng được tìm thấy.
Giải thích về sự tan chảy của bóng ma:
Các lỗ hổng Meltdown và Spectre cho phép các chương trình độc hại đọc được. Cũng như truy cập dữ liệu từ các chương trình khác. Tất cả các hệ thống đều bị ảnh hưởng bởi những người sử dụng bất kỳ thiết bị máy tính hiện đại nào. Bạn có thể là chủ sở hữu trang web WordPress hoặc một trình duyệt thông thường của các trang web. Vấn đề này có thể gây hại cho bạn. Ví dụ:bạn có một tab trình duyệt đang truy cập vào một trang web độc hại. Tab này có thể truy cập dữ liệu từ trình quản lý mật khẩu được cài đặt trên trình duyệt. Hoặc thậm chí cookie từ các tab khác. Tương tự, nếu bạn có một trang WordPress được lưu trữ bằng máy chủ web. Và nó có nhiều trang web chia sẻ cùng một phần cứng. Trang web của bạn dễ bị đánh cắp vi phạm dữ liệu. Điều này có nghĩa là bất kể bạn đang được chia sẻ hay được quản lý để lưu trữ. Bạn đang ở trong một tình huống tồi tệ.
Tại sao Spectre và Meltdown lại nguy hiểm?
Vấn đề cụ thể này ảnh hưởng đến tất cả những người sử dụng bất kỳ thiết bị máy tính hiện đại nào. Bạn có thể là chủ sở hữu trang web WordPress hoặc một trình duyệt thông thường của các trang web. Vấn đề này có thể gây hại cho bạn. Ví dụ:bạn có một tab trình duyệt đang truy cập vào một trang web độc hại. Tab này có thể truy cập dữ liệu từ trình quản lý mật khẩu được cài đặt trên trình duyệt . Hoặc thậm chí từ cookie từ các tab khác. Theo cách tương tự, nếu bạn có một trang WordPress được lưu trữ bằng máy chủ web. Và máy chủ lưu trữ có nhiều trang web chia sẻ cùng một phần cứng. Trang web của bạn dễ bị đánh cắp dữ liệu. Điều này có nghĩa là bất kể bạn đang sử dụng dịch vụ lưu trữ được chia sẻ hay được quản lý. Bạn đang ở trong một tình huống tồi tệ.
Tôi có bị ảnh hưởng với tư cách là chủ sở hữu Trang web không?
Hiện tại, bạn đã bị ảnh hưởng bởi lỗi bảo mật Meltdown. Việc đánh cắp dữ liệu có thể bao gồm mật khẩu, khóa SSL và các thông tin nhạy cảm khác.
Tôi nên làm gì với tư cách là chủ sở hữu trang web WordPress?
Có bốn cách phổ biến để lưu trữ một trang web WordPress:
Lưu trữ được chia sẻ - GoDaddy, Bluehost, SiteGround và cộng sự
Trên chia sẻ lưu trữ, có nhiều trang web chạy cùng với nhiều trang khác. Và ở rất gần trên một máy chủ. Các máy chủ này có một mức độ bảo vệ nhất định. Đảm bảo sự an toàn của trang web này với trang web khác. Bức tường này giữa các trang web là đủ để hoạt động bình thường. Nhưng nó có thể bị vi phạm. Tất cả các phiên bản trang web đang chạy trên cùng một máy. Lỗ hổng này có thể cho phép một trang web độc hại cố gắng truy cập vào dữ liệu trên các trang web khác.
Trong trường hợp này, máy chủ web chịu trách nhiệm triển khai các bản vá lỗi Spectre Meltdown. Bạn nên theo dõi với máy chủ web của bạn. Và đảm bảo rằng họ có kế hoạch cho việc này.
Lưu trữ WordPress được quản lý - WP Engine, Pantheon, v.v.
Lưu trữ WordPress được quản lý theo truyền thống được coi là một lưu trữ tốt hơn. Và thậm chí là một tùy chọn an toàn hơn lưu trữ được chia sẻ. Hầu hết các nhà cung cấp Managed WordPress Hosting phổ biến đều lưu trữ các trang web trên nhà cung cấp đám mây lớn. Những nhà cung cấp đó bao gồm AWS, Digital Ocean, Google cloud và những nhà cung cấp khác. Lưu trữ được quản lý làm giảm nguy cơ một trang web có thể xâm phạm trang web khác. Đó là các trang web khác trên cùng một máy chủ. Tuy nhiên, trường hợp này lại khác vì Spectre và Meltdown là lỗi phần cứng. Bạn được lưu trữ trên một vùng chứa chuyên dụng? Biết rằng nhiều vùng chứa có thể đang chạy trên cùng một máy. Điều này khiến bạn phải chịu rủi ro tương tự như một trang web được lưu trữ trên dịch vụ lưu trữ được chia sẻ.
Nhiều nền tảng đám mây đã sửa chữa các nền tảng cơ bản của họ. Một số người khác cũng đã vạch ra một kế hoạch tương tự. Các máy chủ web được quản lý cũng sẽ cần áp dụng các bản vá phần mềm cho Meltdown hoặc bản vá lỗi bóng ma. Họ cũng sẽ phải làm điều này với hệ thống của riêng họ.
Lưu trữ đám mây - Digital Ocean, AWS, v.v.
Một số người trong chúng tôi điều hành các trang web của mình bằng cách thuê các máy chủ ảo từ các nền tảng lưu trữ đám mây. Các nền tảng đám mây này cho phép nhiều khách hàng chia sẻ một máy chủ vật lý. Khách hàng có thể cài đặt hệ điều hành của riêng họ. Và sau đó quản lý toàn bộ ngăn xếp trên đầu trang này. Mang lại cho họ sự linh hoạt hoàn toàn. Máy chủ cơ bản là phổ biến. Do đó, có thể khai thác lỗ hổng tan chảy hoặc lỗ hổng bóng ma.
Các dịch vụ đám mây lớn đang nhanh chóng vá các nền tảng của họ. Tuy nhiên, bạn có trách nhiệm bảo trì máy chủ ảo của riêng mình. Bạn nên cập nhật hệ điều hành của mình càng sớm càng tốt.
Máy chủ chuyên dụng
Lưu trữ của máy chủ thuộc sở hữu tư nhân và được duy trì không phải là một lựa chọn phổ biến. Điều này là do sự phức tạp và chi phí. Tuy nhiên, nếu bạn tình cờ làm như vậy, bạn sẽ có ít rủi ro từ lỗi này. Mặc dù vậy, chúng tôi vẫn khuyên bạn nên cập nhật hệ điều hành của bạn.
Tôi có thể biết liệu trang web của mình có bị tấn công không?
Thật không may, không thể biết liệu bạn có đang bị tấn công hay không. Đây là những lỗi phần cứng có thể dẫn đến việc đánh cắp dữ liệu. Điều đó cũng không để lại bất kỳ dấu vết nào trong các tệp nhật ký truyền thống. Cuộc tấn công độc lập với hệ điều hành. Và nó không dựa trên bất kỳ lỗ hổng bảo mật phần mềm nào. Những lỗi này hoạt động trên chip máy tính cá nhân, thiết bị di động và hệ thống đám mây. Có thể lấy cắp dữ liệu từ bạn và khách truy cập của bạn. Nhưng điều đó phụ thuộc vào cơ sở hạ tầng của nhà cung cấp dịch vụ lưu trữ.
Làm cách nào để khắc phục sự cố này?
Đáng buồn là bạn không thể làm được gì nhiều vào lúc này. Lỗi này ảnh hưởng đến hầu hết tất cả mọi người. Các nhà cung cấp Hệ điều hành đã bắt đầu triển khai các bản sửa lỗi. Nhưng đây là các bản vá lỗi của bản đồ dừng và chi phí hiệu suất. Các cuộc tấn công Meltdown hoặc bản vá Meltdown Spectre được cho là có tác động từ 5 đến 30% hiệu suất CPU. Trong khi Spectre (và các biến thể của Spectre) sẽ không sớm được sửa. Chúng tôi hy vọng các nhà sản xuất chip như Intel và AMD sẽ thực hiện các bước. Điều đó sẽ giúp đối phó với những kiểu tấn công trong tương lai. Và sẽ ngăn chặn bất kỳ loại lỗi nào trên chip.
Gần đây đã có rất nhiều cuộc thảo luận xung quanh lỗ hổng thiết kế của bộ xử lý Intel và cái được gọi là cuộc khủng hoảng Intel Spectre hay cuộc khủng hoảng Intel. Với chip Intel an toàn và bộ xử lý AMD, bạn có thể bảo vệ PC của mình.
Tôi nên liên hệ với ai để được trợ giúp?
Các công ty lưu trữ lớn đã bắt đầu triển khai các bản vá lỗi Spectre và Meltdown hoặc các bản vá Meltdown và Spectre. Là chủ sở hữu trang web kiểm tra với nhà cung cấp dịch vụ lưu trữ của bạn về trạng thái hệ thống của họ. Yêu cầu họ triển khai các bản sửa lỗi ngay lập tức nếu họ chưa triển khai. Kiểm tra với họ xem những bản sửa lỗi này có ý nghĩa như thế nào với bạn với tư cách là người dùng cuối. Nó sẽ ảnh hưởng đến hiệu suất của trang web? Những hiệu ứng này có hiển thị cho người dùng cuối của bạn không?
Nhưng dù sao thì các cuộc tấn công Meltdown và Spectre này hay lỗ hổng Spectre được giải thích là gì?
Google Project Zero đã tiết lộ lỗi là:
Tuyên bố trên tóm tắt các khai thác được thực hiện bởi Meltdown hoặc Spectre. Trên thực tế, chúng là một ví dụ về các lỗ hổng kênh bên hoặc các cuộc tấn công kênh bên.
Các tuyên bố đã được phát hành vào tháng 1 bởi các công ty lớn như Amazon, Google và AMD. Họ đảm bảo với người dùng rằng các phiên bản phần mềm mới nhất của họ là an toàn. Nhiều đại gia khác như Apple vẫn chưa đưa ra bình luận. Sử dụng phần mềm chống vi-rút trên máy tính của bạn. Cũng có được một công cụ kiểm tra Spectre Meltdown trên máy tính của bạn. Bạn cũng có thể tìm hiểu thêm về tin tức và cập nhật của Project Zero trên Blogspot của nhóm Google.
Dưới đây là danh sách các cuộc tấn công mới được phát hiện:
Meltdown-PK (Protection Key Bypass)
Meltdown-BR (Bounds Check Bypass)
Spectre-PHT-CA-OP
Spectre-PHT-SA-IP
Spectre-PHT-SA-OP
Spectre-BTB-SA-IP
Spectre-BTB-SA-OP
Hy vọng rằng blog này được viết bởi nhóm nghiên cứu của chúng tôi làm rõ hầu hết các nghi ngờ của bạn. Hãy theo dõi không gian này để biết thêm các bản cập nhật bảo mật cũng như hướng dẫn đầy đủ về bảo mật WordPress.