מזונות חשובים
- סיקור חדש של פגיעות מצביע על כך שקליפ מוזיקלי פופולרי מסוגל להפיל מחשב על ידי קריסת הדיסק הקשיח שבתוכו.
- הבאג הוא למעשה מימי Windows XP ונראה שהוא משפיע רק על מחשבים ניידים מסוימים.
- עם זאת, מומחי אבטחה מזהירים שהמנגנון שגורם להתרסקות ידוע ומהווה איום ממשי.
למרות שזה עשוי להישמע כמו משהו מתוך צלפית של ג'יימס בונד, מומחי אבטחה מזהירים שלא רק שצלילים מסוימים יכולים להפיל מחשבים, התופעה נפוצה הרבה יותר ממה שאתה מדמיין.
החולשה, שהוקלטה כ-CVE-2022-38392, מצביעה על הקליפ של ה-Rhythm Nation הקלאסי של ג'נט ג'קסון משנת 1989 כמפיל דגם ספציפי של דיסקים קשיחים. עם זאת, תאגיד MITER, שעוזר לזהות ולסווג נקודות תורפה בתוכנה, החליט רק לאחרונה לרשום זאת כבעיה. למרות שהבאג אינו חדש, הוא הגיע לאור הזרקורים לאחר שמהנדס התוכנה הראשי של מיקרוסופט ריימונד צ'ן כתב עליו בבלוג לאחרונה.
"בעוד שמערכות חדשות יוצאות עם כונני SSD, לחומרה ולתוכנה ישנה יותר יש דרך להישאר בסביבה הרבה מעבר לשיא שלה", אמר כריס גוטל, סמנכ"ל ניהול מוצרים למוצרי אבטחה ב-Ivanti, ל-Lifewire באימייל. "מיקרוסופט הייתה משקיעה זמן ומאמץ רק כדי [לרשום זאת כנקודת תורפה] ולגרום ללקוחות להיות מודעים אם יש הרבה מכשירים שעדיין במחזור שעלולים להיות מושפעים ומספיק התרחשויות כדי שזה יעורר דאגה."
שיא שבור
הפוסט בבלוג של צ'ן ייחס את גילוי הבאג ל"יצרן מחשבים גדול" ללא שם, שמצא שחלק מהמחשבים שלהם קורסים בעת ניסיון להשמיע את השיר המדובר.
"תגלית אחת במהלך החקירה היא שהפעלת הקליפ התרסק גם כמה מהמחשבים הניידים של המתחרים שלהם", כתב צ'ן. "ואז הם גילו משהו מאוד מוזר: השמעת הקליפ על מחשב נייד אחד גרמה לקריסה של מחשב נייד שישב בקרבת מקום, למרות שהמחשב הנייד השני לא השמיע את הסרטון!"
צ'ן אומר שהחברה בסופו של דבר גילתה שלשיר יש צליל מסוים שהדהד עם הדיסק הקשיח במחשב הנייד הפגוע. תהודה היא התופעה הפיזית שגורמת לצליל המופק על ידי אובייקט אחד לרטוט באותו תדר כמו התדר הטבעי של אובייקט אחר, וכתוצאה מכך לתוצאות מסוכנות. בדיוק בגלל הסיבה הזו, חיילים שוברים צעדים כשהם צועדים על גשר.
במקרה של המחשבים הקורסים, היצרן גילה שגלי הקול המגיעים מהרמקולים של המחשב בזמן השמעת השיר של ג'נט ג'קסון, ירטטו באותה תדר כמו הכונן הקשיח שבתוכו, מה שגרם לו לקרוס.
כדי להתגבר על הבעיה, היצרן הגה דרך לזהות ולהסיר את התדרים הפוגעים מכל אודיו שמושמע במחשב, כתב צ'ן.
מעניין, צ'ן רמז שהבאג מתוארך לימי Windows XP. למרות שזה עשוי להיראות כמו תקופה שחלפה עבור רובנו, מעדשת אבטחה, הוא לא נראה רחוק מאוד, וזו הסיבה שהבאג הזה עדיין יכול להיות מאוד בר ניצול.
"זה בקצה החיצוני של העידן של מה שעדיין ניתן לניצול בשוק, אבל בהחלט לא העתיק ביותר שראינו", אמר גוטל.
הוא מצביע על קטלוג החולשות המנוצלות הידועות שמתוחזק על ידי סוכנות הסייבר לאבטחת ותשתיות (CISA) שעוקב אחר באגים שלדעת הסוכנות עדיין ישמשו האקרים כדי לסכן מחשבים.בנוסף לבאגים העדכניים יותר, הקטלוג מפרט גם נקודות תורפה משנת 2002 המשפיעות על מחשבים שבהם פועל Windows 2000.
"CISA לא הייתה לוקחת את הזמן להזכיר פגיעות כל כך ישנה אלא אם היא עדיין ממוקדת על ידי גורמי איומים", אמר גוטל.
להטביע אקורד
רוג'ר גריימס, שאל גוטל באופן רטורי. "כנראה די רזה, אבל בהתחשב בעובדה שהשיר היה פופולרי באותו זמן כמו החומרה, אולי זה לא כל כך סיכוי בכל זאת."