“在英特尔芯片中发现了新的负载值注入漏洞”
英特尔芯片面临着狡猾研究者发现的新漏洞的冲击,今天,这家企业面临着另一个新漏洞,即LVI ( LVI )。 bitdefender的消息稿称,该漏洞对数据中心的服务器尤其具有破坏性。 lvi将影响从第三代ivy网桥芯片到第十代comet lake解决方案的所有酷睿系列。
研究人员对zdnet的声明指出,虽然这种攻击基于intel修补软件的meltdown漏洞,但lvi也可以在需要修补软件的系统上执行。 因此,有报道称英特尔需要采用硬件修复程序来完全阻止lvi攻击介质。
根据研究人员使用的实验性修复方法,潜在的缓解措施导致的性能下降因业务负荷而异,可能会增加2倍到19倍,但可以用新芯片中基于硬件的修复方法来抵消。
值得注意的是,这种漏洞( cve--0551 )被称为攻击者向特定的微架构注入恶意值,允许受害者采用,这有可能泄露秘密。 据悉,这样可以窃取数据,但由于可以公开存储在内存中的加密或密码,攻击者可以控制目标计算机。
研究人员认为,这种攻击需要将数据放入sgx enclave中,理论上可以用javascript执行。 这意味着不需要物理访问计算机,但研究人员还没有对攻击介质进行测试。 在多租户环境(例如在基于云的实例中发现的环境)中,此攻击可能会拦截相邻的实例。 但是,研究人员指出,利用这个漏洞非常困难,对大多数客户来说并不是紧迫的威胁。
英特尔发布了对lvi缺陷的全面分析。 他还指出,由于成功实施lvi需要满足许多复杂的要求,因此该lvi在可靠的操作系统和vmm的实际环境中并不是实用的使用方法[..]。 因此,系统管理员和应用程序开发人员在决定如何减少lvi时,必须仔细考虑适合系统的特定威胁模型。
该缺陷由bitdefender发现,并由一组过去暴露intel、amd、arm和ibm体系结构主要缺陷的研究人员进行了验证。 然后,bitdefender制作了概念的综合说明,并将其公布在github上。 研究人员由英特尔、amd和arm资助。
bitdefender声称于去年2月10日与英特尔共享了攻击。 他还表示,现有的meltdown、spectre和mds缓解方案不足以缓解新的漏洞,改进的补救方案目前需要禁用超线程或购买新硬件。 带硅内修复。 目前由ice lake系列、silvermont和不属于airmont系列的凌动解决方案组成。
英特尔就lv1的脆弱性发表了以下声明:
负荷值注入宣言:研究人员已经明确了一种叫做负荷值注入( lvi )的新机制。 由于成功执行需要满足许多复杂的要求,英特尔不认为lvi在可靠的操作系统和vmm的现实环境中是可行的方法。 lvi的新缓解指导方针和工具已经上市,与之前发布的缓解措施结合使用,可以大幅减少整体的攻击面。 我们感谢合作的研究者和我们领域的伙伴为协调和公开这个问题做出的贡献。
免责声明:雪球目录网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站的工作人员将予以删除。