处理器漏洞爆不完英特尔平台再曝连安全区资料

亚博体育手机app前不久英特尔(Intel)与AMD的处理器才分别在聚合式安全与管理引擎(CSME)及一级资料快取路预测器(L1DWayPredictor)发现安全漏洞,10日研究人员又再度发现英特尔晶片有骇客可从软体保护扩充指令集窃取机密资讯的安全漏洞,最令人担心的是,SGX扮演确保使用者最敏感机密资讯安全的数位保险箱角色。

亚博体育手机app
亚博体育手机app

目前所有名为暂态执行(Transient-Execution)的漏洞都源于推测执行(SpeculativeExecution),后者是CPU试图呼叫未来指令前猜测优化机制。Meltdown和Spectre是第一批被揭露的暂态执行漏洞,随后ZombieLoad、RIDL、Fallout及Foreshadow等攻击开始横行,其中Foreshadow也会对英特尔SGX不利。透过让有安全弱点的系统执行储存在恶意网站的JavaScript或藏在恶意App里的程式码。

亚博体育登陆
亚博体育登陆

攻击者便可借此发动旁路攻击(Side-ChannelAttack),让原本禁止任意存取的快取内容被看光光。10日发现的新漏洞就像其他暂态执行漏洞,只能缓解无法修补,并完全颠覆英特尔SGX的核心机密保护机制。其中最需密切关注的莫过于LVI(LoadValueInjection)漏洞攻击,因为会窃取储存在SGX安全区的机密。

亚博体育网页版
亚博体育网页版

发表评论

电子邮件地址不会被公开。 必填项已用*标注