|
更多全球網(wǎng)絡(luò)安全資訊盡在E安全官網(wǎng) www.easyaq.com 近日,研究人員發(fā)現(xiàn)��,英特爾CPU中未記錄的功能允許攻擊者以受控方式操縱英特爾CPU的電壓以觸發(fā)計算錯誤��。這可以用來破壞英特爾SGX受信任執(zhí)行環(huán)境的安全保證��,該環(huán)境保護(hù)旨在保護(hù)加密機(jī)密并隔離內(nèi)存中的敏感代碼執(zhí)行��。Intel Software Guard Extensions(SGX)是現(xiàn)代Intel CPU中存在的一項技術(shù)��,它允許用戶設(shè)置安全區(qū)��,其中CPU會對部分內(nèi)存進(jìn)行加密��,并且除安全區(qū)內(nèi)運行的程序外,其他程序均無法訪問該程序��。即使攻擊者獲得了對操作系統(tǒng)或虛擬化環(huán)境中的虛擬機(jī)監(jiān)控程序的特權(quán)訪問��,該技術(shù)也可以在程序內(nèi)存中幫助保護(hù)數(shù)據(jù)��。對于保護(hù)公共云基礎(chǔ)設(shè)施上的加密操作和密鑰特別有用��。近日��,英國伯明翰大學(xué)��、奧地利格拉茨科技大學(xué)和比利時魯汶大學(xué)的一個學(xué)術(shù)研究小組開發(fā)了一種名為Plundervolt的新故障注入攻擊��,該攻擊可以破壞英特爾SGX機(jī)密��,并有可能觸發(fā)內(nèi)存安全錯誤��。通過操縱使用SGX的Intel CPU的電壓��,研究人員可以使用Plundervolt漏洞從內(nèi)存中提取敏感數(shù)據(jù)��,包括完整的RSA加密密鑰��。針對此問題��,研究人員也提出了幾種對策��,包括在硬件和微碼級別以及在軟件級別上��,通過使用抗故障密碼原語以及應(yīng)用程序和編譯器強(qiáng)化��。但是��,其中還是有很多缺點��,包括潛在的性能影響��。在該漏洞被報告給英特爾后��。該公司將該問題評為7.9級的CVSS嚴(yán)重程度��,跟蹤為CVE-2019-11157��。并與合作伙伴合作發(fā)布了BIOS更新來解決該問題��。目前��,該問題已通過最新版本的英特爾微碼解決��。注:本文由E安全編譯報道��,轉(zhuǎn)載請注原文地址 https://www.easyaq.com
|
