Microsoft, Intel CPU’lardaki ‘Bellek Eşlemeli G/Ç Eski Verileri (MMIO)’ bilgilerinin açığa çıkması güvenlik açıkları için bant dışı güvenlik güncelleştirmeleri yayımladı.
Eşlenmiş G/Ç yan kanal güvenlik açıkları ilk olarak Intel tarafından 14 Haziran 2022’de açıklanmış ve kusurların bir sanal makinede çalışan işlemlerin başka bir sanal makineden verilere erişmesine izin verebileceği uyarısında bulunmuştu.
Bu güvenlik açığı sınıfı, aşağıdaki CVE’ler kapsamında izlenir:
- CVE-2022-21123 – Paylaşılan Arabellek Veri Okuması (SBDR)
- CVE-2022-21125 – Paylaşılan Arabellek Veri Örneklemesi (SBDS)
- CVE-2022-21127 – Özel Kayıt Arabelleği Veri Örnekleme Güncellemesi (SRBDS Güncellemesi)
- CVE-2022-21166 – Cihaz Kaydı Kısmi Yazma (DRPW)
Salı günü Haziran Yaması’nın bir parçası olarak Microsoft, bu güvenlik açıklarının etkileyebileceği senaryo türleri hakkında bilgi içeren ADV220002’yi de yayımladı.
Microsoft, “Bu güvenlik açıklarından başarıyla yararlanan bir saldırgan, ayrıcalıklı verileri güven sınırlarını aşarak okuyabilir” dedi.
“Paylaşılan kaynak ortamlarında (bazı bulut hizmetleri yapılandırmalarında olduğu gibi), bu güvenlik açıkları bir sanal makinenin diğerinden gelen bilgilere uygun olmayan şekilde erişmesine izin verebilir.”
“Bağımsız sistemlerde tarama yapılmayan senaryolarda, bir saldırganın bu güvenlik açıklarından yararlanmak için sisteme önceden erişmesi veya hedef sistemde özel hazırlanmış bir uygulamayı çalıştırabilmesi gerekir.”
Ancak, Microsoft’un danışma belgesine göre, Windows Server 2019 ve Windows Server 2022 için uygulanan azaltmalar dışında hiçbir güvenlik güncellemesi yayınlanmadı.
Microsoft, Windows 10, Windows 11 ve Windows Server için bu güvenlik açıklarını gideren biraz kafa karıştırıcı bir dizi güvenlik güncelleştirmesi yayımladı.
Destek bültenlerinden, bunların yeni Intel mikro kodları mı yoksa cihazlara uygulanacak diğer hafifletmeler mi olduğu açık değil.
Bu güncellemeler, Microsoft Update Kataloğu’nda manuel güncellemeler olarak yayınlanmaktadır:
Bu güvenlik açıklarının hafifletilmesi performans sorunlarına neden olabileceğinden ve bazı senaryolarda Intel Hyper-Threading Teknolojisi (Intel HT Teknolojisi) devre dışı bırakılmadan kusurlar tam olarak çözülemeyebileceğinden, bunlar muhtemelen isteğe bağlı, manuel güncellemeler olarak yayınlanmaktadır.
Bu nedenle, bu güncellemeleri uygulamadan önce hem Intel’in hem de Microsoft’un tavsiyelerini okumanız önemle tavsiye edilir.