Menurut laporan majalah komputer terkenal “c’t”, terdapat celah keamanan baru yang serius pada chip Intel. Lima bulan setelah kerentanan serius “Spectre” dan “Meltdown” diketahui, para peneliti telah menemukan delapan lubang keamanan baru pada prosesor Intel, majalah tersebut melaporkan pada hari Kamis.

Masing-masing dari delapan kerentanan telah diberi nomornya sendiri oleh Intel dalam daftar kerentanan keamanan yang diketahui (Common Vulnerability Enumerator, CVE). Intel mengatakan pada Kamis malam bahwa pihaknya secara teratur “bekerja sama dengan pelanggan, mitra, pembuat chip lain, dan peneliti untuk memahami dan memitigasi masalah apa pun yang teridentifikasi.” Bagian dari proses ini adalah pembahasan blok nomor CVE. “Kami sangat percaya pada nilai pengungkapan yang terkoordinasi dan akan membagikan rincian tambahan mengenai potensi masalah saat kami menyelesaikan mitigasi.” Pembuat chip menyarankan pengguna untuk “menjaga sistem mereka tetap diperbarui”, meskipun celah untuk saat ini masih ada. Tidak ada perbaikan bug yang tersedia sama sekali.

“Spectre” dan “Meltdown” melemahkan mekanisme keamanan yang dimaksudkan untuk mencegah program mengambil data secara bebas dari memori komputer. Jika keamanannya diakali, perangkat lunak terkait dapat memperoleh akses ke area memori yang benar-benar terlindungi dari program lain atau sistem operasi dan, misalnya, membaca kata sandi dan kunci kripto. Beberapa kerentanan baru (“Spectre Next Generation”) dilaporkan ditemukan oleh peneliti keamanan di Project Zero Google. Di masa lalu, peretas Google telah menerbitkan beberapa kerentanan yang belum disiapkan oleh produsen terkait untuk perbaikan bug (“tambalan”).

Menurut “c’t”, skenario serangan baru harus diklasifikasikan serupa dengan kesenjangan yang terungkap pada bulan Januari lalu. “Namun, salah satu kerentanan baru ini menyederhanakan serangan lintas batas sistem sehingga kami menilai potensi ancamannya jauh lebih tinggi dibandingkan dengan Spectre.” Kesenjangan ini berarti bahwa suatu serangan tidak lagi hanya mungkin dilakukan secara teoritis, tetapi juga sangat disederhanakan dalam praktiknya.

Penyedia layanan cloud seperti Amazon atau Cloudflare dan tentu saja pelanggan mereka sangat terpengaruh,” jelas Jürgen Schmidt, pakar keamanan di “c’t”. “Kata sandi untuk transmisi data yang aman menjadi target yang sangat dicari dan berada pada risiko besar akibat kesenjangan baru ini.” Namun, bahaya spesifik terhadap individu dan komputer perusahaan cukup rendah karena biasanya terdapat kerentanan lain yang lebih mudah untuk dieksploitasi. “Bahkan jika tidak ada alasan untuk panik, kerentanan keamanan baru ini harus ditanggapi dengan serius.”

Belum jelas kapan patch pertama untuk kerentanan Spectre baru akan tiba. Tampaknya Intel merencanakan dua gelombang patch, kata Schmidt. “Yang pertama akan mulai diluncurkan pada bulan Mei; Yang kedua direncanakan pada bulan Agustus.” Intel sendiri menilai empat celah keamanan baru tersebut memiliki risiko tinggi, sedangkan risiko empat lainnya dinilai “sedang”.

Secara keseluruhan, kesenjangan baru ini menunjukkan bahwa “Spectre” dan “Meltdown” bukanlah kesalahan yang terjadi satu kali saja dan dapat ditutup secara permanen dengan beberapa tambalan. “Banjir patch yang tak ada habisnya bukanlah solusi yang dapat diterima terhadap fakta bahwa dua puluh tahun yang lalu Intel menerapkan optimalisasi kinerja tanpa konsep keamanan yang memadai,” kata pakar Schmidt. Dia menyerukan pemikiran ulang mendasar terhadap desain CPU agar memiliki infrastruktur TI yang stabil.

dpa