Новости Hardware

В процессорах Intel обнаружена новая уязвимость, заплаток пока нет

Парад обнаруженных в процессорах Intel уязвимостей продолжили новые виды атаки на кеш. Заплаток для них пока нет. В Intel определили угрозу как средней тяжести.

Исследователи из Университетов Мичигана и Аделаиды опубликовали информацию об обнаружении новой тотальной уязвимости процессоров Intel к атакам злоумышленников. Атака названа CacheOut и получила официальное обозначение CVE-2020-0549. «Дыры» присутствуют во всех процессорах компании, выпущенных до четвёртого квартала 2018 года включительно. Более новые процессоры, вероятно, инертны к атаке CacheOut, поскольку Intel ранее выпускала патчи для защиты от похожих уязвимостей. Но это не точно.

Атака CacheOut представляется исследователям более опасной, чем атаки Spectre и Meltdown и другие атаки на кеш процессоров по побочным каналам. В процессе постановочных атак выяснилось, что CacheOut позволяет получить конкретные данные из кеша, а не набор часто бессмысленных данных. Компания Intel, как это заведено, была сразу же уведомлена о найденной уязвимости, и до открытой публикации исследования успела принять определённые меры. Тем не менее, заплатки и микрокод для BIOS всё ещё разрабатываются и будут предоставлены для установки позже.

К счастью для пользователей, уязвимость CacheOut нельзя реализовать через JavaScript, поэтому атака через интернет-странички невозможна. Уязвимости должны бояться поставщики облачных сервисов. Атака CacheOut вскрывает даже защищённые области памяти в процессорах Intel, которые должна защищать технология Intel SGX. Также она реализуется через виртуальные машины. Процессоры AMD не используют похожих инструкций, которые атакует CacheOut, а вот процессоры IBM и ARM, вероятно, подвержены новой уязвимости.

Исследователи изучили работу атаки CacheOut на немодифицированное ядро Linux. В частности, возможно враждебное воздействие на блок защиты от атак переполнения буфера (на метки стека ядра stack canaries) и на перемешивание (рандомизацию) размещения адресного пространства ядра (KASLR). Атака позволяет сбросить расшифрованные данные в кеш и идентифицировать их после прочтения и анализа. Подробнее об этом сообщается на специально созданном сайте Сacheoutattack, где также есть ответы на важные вопросы о новой уязвимости. Основные моменты мы сообщили, но вдруг там появится что-то новое.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
NVIDIA TAO, Triton и Fleet Command помогут компаниям в выборе, дообучении, оптимизации и развёртывании моделей ИИ 25 мин.
NVIDIA развивает Arm-экосистему: GPU-инстансы с Graviton2, набор HPC-разработчика на базе Ampere Altra и новые партнёрства с Marvell, MediaTek и SiPearl 39 мин.
Открытый мир, роботы и Unreal Engine 4: среди вакансий создателей PUBG нашли информацию о секретной игре под названием Project Vertical 2 ч.
В ядре Linux 5.13 появится начальная поддержка ARM-процессора Apple M1 3 ч.
Nintendo пообещала не поднимать цены на розничные версии своих игр в России 3 ч.
«Исправьте свою игру»: пользователь обнаружил на своём ПК 23 Гбайт отчётов, связанных с вылетами Outriders 4 ч.
Для TES V: Skyrim вышел мод, который добавляет провинцию Валенвуд и позволяет поучаствовать в её отвоевании 5 ч.
LG обнародовала перечень смартфонов, которые получат обновление до Android 12 и 13 5 ч.
Видео: штурм Рима галлами в геймплейной демонстрации Total War: Rome Remastered 5 ч.
Платформер Vokabulantis с кукольной анимацией и фотограмметрией собрал нужную сумму на Kickstarter 6 ч.
NVIDIA представила профессиональные мобильные видеокарты на Ampere и Turing 12 мин.
NVIDIA представила мощную платформу DRIVE Atlan для самоуправляемых автомобилей 12 мин.
NVIDIA представила младшие серверные ускорители A10 и A30 12 мин.
Ускоритель NVIDIA A16 рассчитан на инфраструктуры VDI 13 мин.
NVIDIA представила серверные ускорители A10, A16 и A30 для работы с ИИ и организации виртуальных рабочих мест 13 мин.
Беспилотные фургоны доставки на платформе Intel Mobileye начнут разворачивать в 2023 году 13 мин.
Huawei обвинила США в глобальном дефиците чипов — источником всех бед названы санкции 40 мин.
NVIDIA анонсировала серверные Arm-процессоры Grace и будущие суперкомпьютеры на их базе 47 мин.
Представлен доступный смартфон Vivo Y20s G с процессором Helio G80 и ёмкой батареей 2 ч.
Microsoft купила создателей Siri за $20 млрд, чтобы усилить позиции на рынке облачного здравоохранения 3 ч.