Intel, mobil, masaüstü ve sunucu işlemcilerinde bulunan ve kötü niyetli kullanımı sistem çökmelerine neden olabilen bir hatayı düzeltmek amacıyla mikro kod güncellemesi yayınladı. Bu zafiyet, özellikle bulut sistemleri için son derece tehlikeli olan çok kullanıcılı sanallaştırılmış ortamlarda kullanılabilmektedir. Ayrıca, zafiyet, gizli bilgilere erişim veya ayrıcalıkları yükseltme potansiyeline sahiptir.
Reptar Zafiyeti ve Etkileri
CVE-2023-23583 numarasına sahip olan Reptar zafiyeti, neredeyse tüm modern Intel işlemcilerini etkilemektedir; tüketici sınıfı Core işlemcileri ve sunucu sınıfı Xeon işlemciler de dahil olmak üzere. Bu zafiyet, işlemcilerin "normal kuralların uygulanmadığı bir çökmüş duruma" geçmelerine neden olur. Google'daki bir siber güvenlik uzmanı olan Tavis Ormandy, bu sorunu keşfedenlerden biri olarak, bu hatanın işlemciyi öngörülemeyen bir şekilde davranmaya zorlayarak sistem çökmelerine yol açtığını belirtti. Hata, hatayı kullanarak çalışan kodun sanal bir makinedeki konuk hesabı altında bile çalıştırılabilir, bu da ana makinenin ve dolayısıyla diğer sanal makinelerin acil bir şekilde kapatılmasına neden olabilir. Ayrıca, zafiyet, gizli bilgilere erişim veya kullanıcı ayrıcalıklarının yükseltilmesine yol açabilir.
Reptar Zafiyeti ve Intel'in Tepkisi
Geçen Ağustos ayında, Ormandy, 64-bit kodunda kullanılan REX ön eki ile Intel işlemcilerinde çalışırken "beklenmeyen sonuçlar" üreten bir hata keşfetti. Bu hata, FSRM (Fast Short Repeat Move) işlevini destekleyen Ice Lake mimarisindeki Intel işlemcilerde darboğazları ortadan kaldırmak için ortaya çıkmıştı.
Araştırmacılar, bu hatanın anlaşılmasına çalışırken, hatanın, xsave veya call talimatlarındaki işaretçileri doğru bir şekilde kaydetmeyi bıraktığında, beklenmeyen yerlere geçişlerin ve koşulsuz geçişlerin yok sayılmasının meydana geldiğini fark ettiler. Hata, sanal makinelerdeki ayrıcalıksız konuk hesapları üzerinde bile çoğaltılabiliyordu ve bu da sorunu, bulut sağlayıcılar için bir tehdit haline getiriyordu.
Intel'in Güvenlik Güncellemesi ve Uygulanması
Google, keşiflerini Intel'e bildirdi ancak işlemci üreticisinin hatanın "işlevsel bir hata" olduğunu ve bu hatayı eski işlemci platformlarında zaten bildiklerini öğrendi. Hata, başlangıçta 10 üzerinden 5 puan aldı ve sorunun düzeltilmesi Mart 2024'e planlanmıştı.
Ancak Intel'in güvenlik uzmanları, bir ayrıcalık yükseltme vektörü keşfettikten sonra hata puanı 8.8'e yükseldi ve düzeltme Kasım 2023'e ertelendi. Intel, hataya maruz kalan ürünleri, hatanın zaten düzeltildiği veya mikro kod güncellemesi ile düzeltilmesi planlananlar olmak üzere iki kategoriye ayırdı.
Ancak, hatanın tamamen düzeltilmesi, son cihaz ve anakart üreticilerinin güncellemeyi uygulamalarını gerektirir. Reptar'ın kullanıcı makinelerinde ortaya çıkma olasılığı düşük olsa da, güncellemenin yine de uygulanması önerilir.
