В чипах Intel обнаружена новая уязвимость, связанная с инжекцией значения нагрузки

Пол Алкорн 10 марта 2020 г.

Еще один день, еще одна уязвимость

Чипы Intel столкнулись с новыми уязвимостями, обнаруженными хитрыми исследователями, и сегодня компания сталкивается с еще одним новым недостатком. Load Value Injection (LVI), который в пресс-релизе Bitdefender описывается как «особенно разрушительный» для серверов в центре обработки данных. , LVI влияет на все семейства Core, начиная с чипов Ivy Bridge третьего поколения и заканчивая процессорами Comet Lake 10-го поколения.

Согласно заявлениям исследователей ZDNet, атака основана на уязвимостях Meltdown, которые Intel уже исправила в программном обеспечении, но LVI по-прежнему работает на системах с необходимыми исправлениями программного обеспечения. Таким образом, Intel, как сообщается, придется использовать аппаратные исправления, чтобы полностью блокировать вектор атаки LVI.

Читайте также

  • Забыла Пароль Id На Iphone 5
    Если вы забыли свой пароль Apple IDЕсли у вас возникли проблемы при входе с паролем Apple ID, вы можете использовать описанные здесь шаги для сброса пароля и восстановления доступа к вашей учетной записи.Apple ID. это учетная запись, предоставляющая ...
  • 20 февраля Vivo собирается выпустить в Индии новый Pop-Up Selfie Camera Phone, вероятно, Vivo V15 Pro,
    Vivo собирается выпустить новый всплывающий телефон с селфи-камерой в Индии 20 февраля, вероятно, Vivo V15 ProПриглашение «Заблокировать свой календарь» подтверждает всплывающую селфи-камеру на предстоящем телефоне VivoОсобенности Vivo Nex был запуще...
  • MWC 2020 отменили здесь все, что нужно знать о крупнейшей в мире телефонной выставке
    MWC Barcelona изначально назывался Pan Europe Digital Cellular Radio. Huawei продемонстрировала свой первый складной телефон на MWC 2019 MWC 2020 был отменен из-за опасений по поводу коронавируса Это крупнейшая выставка индустрии мобильной связи Перв...
  • Как Подключить Наушники К Айфону 7 Проводные
    Чтоб подключить (напомним, беспроводные) наушники Apple к телефону, чем просто не надо проводить классическую функцию сопряжения через Bluetooth…Для которого предназначена конструкция с AirPods довольно открыть чехол-зарядку с лежащими в нём «к...
  • Как Установить Мелодию На Будильник Айфон
    Узнайте, как установить и изменить время будильника, попросите Грея установить будильник и отслеживать время сна.Часы позволяют использовать ваш iPhone в качестве будильника. Просто откройте приложение Часы на главном экране или через Центр управлени...
  • Как Узнать Телефон Человека В Инстаграме
    Когда решат цифры, или Поиск пользователя в Instagram по номеру телефонаНе так давно мой друг попросил меня помочь Инсти найти ее одноклассницу, которая живет на другом континенте. Стандартный поиск по имени и фамилии не дал результатов, и с географи...

Согласно экспериментальным исправлениям, использованным исследователями, снижение производительности от потенциальных мер снижения может варьироваться от 2x до 19x в зависимости от рабочей нагрузки, но это может быть компенсировано аппаратными исправлениями в новом кремнии.

Вот быстрый анализ (видео):

Примечательно, что уязвимость (CVE-2020-0551), как говорят, «позволяет злоумышленникам вводить мошеннические значения в определенные микроархитектурные структуры, которые затем используются жертвой, что может привести к раскрытию секретов». Это допускает кражу данных, но может предположительно выявить шифрование или пароли, хранящиеся в памяти, что может позволить злоумышленнику получить контроль над целевой машиной.

В чипах Intel обнаружена новая уязвимость, связанная с инжекцией значения нагрузки

Исследователи утверждают, что атака, которая требует помещения данных в анклав SGX, теоретически может быть выполнена с помощью JavaScript. Это означает, что физический доступ к машине не требуется, но исследователи еще не тестировали этот вектор атаки. В многопользовательских средах, подобных тем, которые встречаются в облачных экземплярах, атака может позволить подслушивать соседние экземпляры. Тем не менее, исследователи также отмечают, что уязвимость чрезвычайно трудно использовать, то есть она не является непосредственной угрозой для большинства пользователей.

Корпорация Intel опубликовала полный анализ недостатков LVI, заявив, что «из-за многочисленных сложных требований, которые должны быть удовлетворены для успешной реализации метода LVI, LVI не является практическим средством использования в реальных средах, где доверяют ОС и VMM [.] Соответственно, системные администраторы и разработчики приложений должны тщательно учитывать конкретную модель угроз, применимую к их системам, при принятии решения о том, следует ли и где смягчать LVI ».

Читайте также

  • Redmi 3 Прошить
    При всех собственных преимуществах в плане свойства используемых аппаратных компонент и сборки, также нововведений в программном решении MIUI, телефоны, выпускаемые компанией Xiaomi, могут востребовать от собственного юзера прошивки либо восстановлен...
  • Как Разблокировать Карту Теле2 На Телефоне
    Как самостоятельно активировать SIM-карту Tele2 на телефонеЧтобы воспользоваться услугами оператора мобильной связи TELE2, вам необходимо подключить SIM-карту. Не все пользователи могут активировать новую карту. Чаще всего они сталкиваются с блокиров...
  • Различия между кабелями Ethernet объяснены, Cat 5, Cat 6a, и т. Д.
    Как выбрать кабель EthernetКабели Ethernet бывают всех форм и размеров. Вот что тебе нужно знатьВсе кабели Ethernet служат одной и той же основной цели. для подключения устройств к сетям, таким как Интернет. Однако не все кабели Ethernet одинаковы. Е...
  • Как Установить На Айфоне Мигание При Звонке
    Сейчас я расскажу для вас о неких особенностях вспышки мобильного устройства iPhone. В первый раз LED-вспышка появилась в модели 4-го поколения – в iPhone 4, в предыдущих же моделях интегрированной вспышки не было, но желающие могли приобрести отдел...
  • Забыл Пароль На Андроиде Как Разблокировать Самсунг
    Инструкция по разблокировке SamsungБлокировка экрана ключом, паролем или PIN-кодом значительно повышает безопасность вашего телефона. Эта защита не позволит злоумышленнику получить доступ к вашим файлам, фотографиям, взломать пароли и найти номера ва...
  • Эта концепция Windows заставит вас понять, как плохо выглядит Windows
    Привет, пользователи Windows, как вы думаете, дизайн Windows 10 выглядит хорошо? Если да, я бы рекомендовал вам не смотреть это видео о концепции Windows. Поверьте мне, это полностью разрушит ваш рабочий стол, заставив вас осознать, что текущий польз...

Недостаток был обнаружен Bitdefender и проверен группой исследователей, которые в прошлом выявили основные недостатки в архитектурах Intel, AMD, ARM и IBM. Затем Bitdefender создал синтетическое подтверждение концепции, которое он разместил на GitHub. Исследователи финансировались Intel, AMD и ARM.

Bitdefender утверждает, что он поделился атакой с Intel 10 февраля 2020 года. Компания также утверждает, что существующие меры по смягчению для Meltdown, Spectre и MDS недостаточны для устранения новой уязвимости и что для полного исправления в настоящее время требуется отключение гиперпоточности или приобретение нового оборудования. с исправлениями в кремнии. На данный момент он состоит из семейства Ice Lake и процессоров Atom, которые не входят в семейства Silvermont и Airmont.

Intel предоставила нам следующие заявления относительно уязвимостей LV1:

Заявление о загрузке значения нагрузки: «Исследователи определили новый механизм, называемый инъекцией значения нагрузки (LVI). В связи с многочисленными сложными требованиями, которые должны быть выполнены для успешного выполнения, Intel не считает, что LVI является практичным методом в реальных условиях, где доверяют ОС и VMM. Новое руководство по смягчению последствий и инструменты для LVI доступны уже сейчас и работают в сочетании с ранее выпущенными мерами по снижению риска, чтобы существенно уменьшить общую поверхность атаки. Мы благодарим исследователей, которые работали с нами, и наших отраслевых партнеров за их вклад в скоординированное раскрытие этой проблемы ».

Заявление, специфичное для SGX: «Чтобы уменьшить потенциальные возможности использования Load Value Injection (LVI) на платформах и в приложениях, использующих Intel SGX, Intel выпускает обновления для программного обеспечения платформы SGX и SDK, начиная с сегодняшнего дня. Intel SGX SDK содержит руководство по снижению LVI для разработчиков приложений Intel SGX. Intel также работала с нашими отраслевыми партнерами, чтобы сделать опции компилятора приложений доступными, и проведет восстановление SGX TCB. Обратитесь к Технические характеристики Intel SGX Attestation Чтобы получить больше информации."

You may also like