來(lái)自英特爾和 AMD 的芯片以及來(lái)自其他制造商的處理器可能容易受到一種新型攻擊����,這種攻擊可能允許威脅參與者直接從端點(diǎn)的(在新標(biāo)簽中打開(kāi))硬件。
包括伊利諾伊大學(xué)厄巴納-香檳分校的 Riccardo Paccagnella 在內(nèi)的一組安全研究人員著手研究通過(guò)測(cè)量數(shù)據(jù)處理過(guò)程中消耗的功率來(lái)從芯片中提取加密數(shù)據(jù)的想法����。由于無(wú)法遠(yuǎn)程測(cè)量功耗,這是一個(gè)相對(duì)古老的理論�����,在實(shí)踐中被證明是不可行的��。
但是研究人員設(shè)法給這個(gè)想法一個(gè)新的轉(zhuǎn)折點(diǎn)����,將攻擊轉(zhuǎn)變?yōu)橐环N不同類(lèi)型的側(cè)信道攻擊,而且這個(gè)更可行�。
英特爾淡化了這個(gè)缺陷
事實(shí)證明,通過(guò)動(dòng)態(tài)電壓和頻率縮放 (DVFS),攻擊者可以跟蹤服務(wù)器響應(yīng)特定查詢所需的時(shí)間����,從而有效地發(fā)現(xiàn)功耗變化���。研究人員說(shuō)�����,這是一件相對(duì)簡(jiǎn)單的事情���。他們將這個(gè)漏洞命名為 Hertzbleed,它被跟蹤為 Intel 設(shè)備的 CVE-2022-24436 和 AMD 的 CVE-2022-23823�。
雖然他們成功地重現(xiàn)了對(duì)第 8 代到第 11 代英特爾芯片的攻擊,但他們也表示它適用于 Xeon 以及 Ryzen 芯片���。
但英特爾沒(méi)有���。針對(duì)調(diào)查結(jié)果,該公司的安全通信和事件響應(yīng)高級(jí)總監(jiān) Jerry Bryant 寫(xiě)道����,這個(gè)想法在實(shí)驗(yàn)室之外是不切實(shí)際的。
“雖然從研究的角度來(lái)看這個(gè)問(wèn)題很有趣,但我們不認(rèn)為這種攻擊在實(shí)驗(yàn)室環(huán)境之外是可行的�。另請(qǐng)注意,針對(duì)電源側(cè)信道攻擊進(jìn)行強(qiáng)化的加密實(shí)現(xiàn)不易受到此問(wèn)題的影響���������!
Ars Technica發(fā)現(xiàn),芯片制造商不會(huì)更新他們的芯片��,而是支持微軟和 Cloudflare 對(duì)其 PQCrypto-SIDH 和 CIRCL 加密代碼庫(kù)所做的更改�����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
