หลังจากที่มีข่าวใหญ่ในเรื่องของปัญหาด้านความปลอดภัยของเครื่องคอมพิวเตอร์ทั่วโลกที่ใช้ซีพียูในปัจจุบัน ซึ่งค้นพบโดยโครงการ Project Zero ของ Google ซึ่งทั้ง AMD, Intel และ ARM ล้วนแต่ได้รับผลกระทบจากช่องโหว่นี้ทั้งหมดทั้งในส่วนของซีพียูที่ใช้ในฝั่ง Server, Desktop รวมถึงชิปประมวลผลบน Devices ต่าง ๆ ด้วย

ช่องโหว่ Meltdown และ Spectre คืออะไร ?

Google Project Zero มีการประกาศช่องโหว่ร้ายแรง 2 รายการ อันประกอบด้วย Meltdown (CVE-2017-5754) และ Spectre (CVE-2017-5753, CVE-2017-5715) ซึ่งส่งผลกระทบกันซีพียูเกือบทุกรุ่น โดยผลกระทบหากไม่ทำการอุดช่องโหว่คือ ผู้ไม่สงค์ดีหรือแฮกเกอร์จะสามารถขโมยข้อมูลสำคัญต่าง ๆ ที่เป็นความลับของผู้ใช้งาน เช่น รหัสผ่าน รูปภาพ อีเมล ฯลฯ ออกไปได้

หากเรามองลึกลงไปอีกระดับในเรื่องของการทำงานของซีพียูนั้นจะพบว่า ซีพียูในปัจจุบันจะมีการประมวลผลหลายคำสั่งในแต่ละครั้งหรือเรียกภาษาทางเทคนิคว่า “Speculative Execution” ผลคือซีพียูจะสามารถทำงานได้เร็วขึ้นมากกว่าปกติ รวมถึงการทำนายคำสั่งที่คาดว่าจะมีการเรียกใช้อีก “Branch Prediction” ซึ่งซีพียูจะดึงมาประมวลผลเตรียมรอไว้ก่อน ซึ่งหากทำนายถูกก็จะเพิ่มประสิทธิภาพของซีพียูให้ดีขึ้นได้อย่างมีนัยสำคัญ

อย่างไรก็ดีเทคนิคดังกล่าวนั้นก็กลายเป็นช่องโหว่ให้แฮกเกอร์เข้ามาดูข้อมูลของเราได้ เพราะ Process ที่เกิดในระดับผู้ใช้สามารถเข้าไปอ่านข้อมูลในระดัับเคอร์เนล (Kernel) ได้ (ความเป็นจริงคือไม่ควรจะทำได้) ความลับต่าง ๆ จึงสามารถดึงออกไปได้ด้วยเช่นกัน

แล้วในฐานะผู้ใช้ต้องทำอย่างไรต่อไป ?

ในส่วนของผู้ใช้อย่างเรา ๆ นั้นสิ่งที่ต้องทำคือ การอัพเดต Patch ต่าง ๆ อย่างรวดเร็ว เพราะปัญหาเกิดขึ้นในระดับฮารดแวร์ที่เป็นหัวใจสำคัญของเครื่องคอมพิวเตอร์ ซึ่งสถานะในตอนนี้สิ่งที่ทำได้รวดเร็วและง่ายที่สุดคือเป็นการอัพเดต Patch จากผูุ้พัฒนาซอฟต์แวร์ต่าง ๆ มากกว่า เช่น ทำการอัพเดตระบบปฏิบัติการให้เป็นตัวล่าสุด ไม่ว่าจะเป็น Windows, Mac, iOS, Android รวมถึงการอัพเดตโปรแกรม Web Browser เช่น Google Chrome, Firefox, Internet Explorer, Microsoft Edge เนื่องจากโปรแกรมท่องเว็บต่าง ๆ เป็นช่องทางสำคัญที่แฮกเกอร์สามารถแฝง Script ร้ายเข้ามาโจมตีเราได้ ส่วนในฝั่งของ Server เช่น ผู้ใช้ระบบ Cloud นั้นอาจจะง่ายหน่อยเนื่องจากผู้ให้บริการน่าจะจัดการอัพเดตเพื่ออุดช่องโหว่ด้านความปลอดภัยนี้กันแล้ว แต่เพื่อความมั่นใจก็ควรจะติดตามข่าวสารจากผู้ให้บริการรวมถึงทำตามข้อแนะนำต่าง ๆ ด้วยครับ