Новая side-channel атака Hertzbleed затрагивает процессоры Intel и AMD - «Новости» » Инсайдер новостей.
Все новости мира
на одном сайте

Новая side-channel атака Hertzbleed затрагивает процессоры Intel и AMD - «Новости»

Новая side-channel атака Hertzbleed затрагивает процессоры Intel и AMD - «Новости»
Новости России / Происшествия / Последние новости / Здравоохранение / Общество / Медицина / Политика
16:32, 22 июнь 2022
351
0
0
0

Новая side-channel атака Hertzbleed позволяет похищать криптографические ключи, наблюдая за изменениями частоты ЦП посредством DVFS (dynamic voltage and frequency scaling, «динамическое масштабирование частоты и напряжения»).


Атака возможна благодаря тому, что на современных x86 процессорах Intel (CVE-2022-24436) и AMD (CVE-2022-23823) динамическое масштабирование частоты зависит от энергопотребления и обрабатываемых данных. Так, DVFS представляет собой функцию регулирования энергопотребления, которая используется в современных процессорах, чтобы система не превышала ограничения по температуре и мощности при высоких нагрузках, а также чтобы снижать энергопотребление при низких нагрузках.


Проблему Hertzbleed обнаружили эксперты из Техасского университета в Остине, Университета Иллинойса в Урбане-Шампейне и Университета Вашингтона. Они рассказывают, что «Hertzbleed представляет собой реальную и практическую угрозу безопасности криптографического ПО».


Представители Intel сообщили, что эта проблема затрагивает все ее процессоры и может быть использована в сложных атаках удаленно. Такие атаки не потребуют взаимодействия с пользователем и могут осуществляться злоумышленниками с низкими привилегиями.


Представители AMD пишут, что Hertzbleed влияет на ряд продуктов компании, включая дектопные и мобильные продукты, Chromebook и серверные процессоры, использующие микроархитектуру Zen 2 и Zen 3.


Сообщается, что процессоры других производителей (например, ARM), которые тоже используют DVFS, так же могут быть уязвимы перед Hertzbleed, хотя исследователи еще не проверяли на них свой PoC-эксплоит.


При этом исследовательская группа говорит, что Intel и AMD вообще не планируют выпускать патчи для решения новой side-channel проблемы. Оба производителя лишь опубликовали рекомендации (1, 2), в которых рассказали, как разработчики могут защитить свое ПО от подобных атак и раскрытия данных.


«Хотя этот вопрос интересен с исследовательской точки зрения, мы не считаем, что такая атака может быть осуществлена ​​за пределами лабораторной среды», —  прокомментировал старший директор Intel по безопасности и реагированию на инциденты Джерри Брайант.


 


Новая side-channel атака Hertzbleed позволяет похищать криптографические ключи, наблюдая за изменениями частоты ЦП посредством DVFS (dynamic voltage and frequency scaling, «динамическое масштабирование частоты и напряжения»). Атака возможна благодаря тому, что на современных x86 процессорах Intel (CVE-2022-24436) и AMD (CVE-2022-23823) динамическое масштабирование частоты зависит от энергопотребления и обрабатываемых данных. Так, DVFS представляет собой функцию регулирования энергопотребления, которая используется в современных процессорах, чтобы система не превышала ограничения по температуре и мощности при высоких нагрузках, а также чтобы снижать энергопотребление при низких нагрузках. Проблему Hertzbleed обнаружили эксперты из Техасского университета в Остине, Университета Иллинойса в Урбане-Шампейне и Университета Вашингтона. Они рассказывают, что «Hertzbleed представляет собой реальную и практическую угрозу безопасности криптографического ПО». Представители Intel сообщили, что эта проблема затрагивает все ее процессоры и может быть использована в сложных атаках удаленно. Такие атаки не потребуют взаимодействия с пользователем и могут осуществляться злоумышленниками с низкими привилегиями. Представители AMD пишут, что Hertzbleed влияет на ряд продуктов компании, включая дектопные и мобильные продукты, Chromebook и серверные процессоры, использующие микроархитектуру Zen 2 и Zen 3. Сообщается, что процессоры других производителей (например, ARM), которые тоже используют DVFS, так же могут быть уязвимы перед Hertzbleed, хотя исследователи еще не проверяли на них свой PoC-эксплоит. При этом исследовательская группа говорит, что Intel и AMD вообще не планируют выпускать патчи для решения новой side-channel проблемы. Оба производителя лишь опубликовали рекомендации (1, 2), в которых рассказали, как разработчики могут защитить свое ПО от подобных атак и раскрытия данных. «Хотя этот вопрос интересен с исследовательской точки зрения, мы не считаем, что такая атака может быть осуществлена ​​за пределами лабораторной среды», — прокомментировал старший директор Intel по безопасности и реагированию на инциденты Джерри Брайант.
CSS
Читайте также
Intel Arc A380 с треском провалилась в первом обзоре — до 26 % медленнее Radeon RX 6400 - «Новости сети»
22-06-2022, 14:51
Intel Arc A380 с треском провалилась в первом обзоре — до 26 % медленнее Radeon RX 6400 - «Новости сети»
Intel требует от Европы сотни миллионов долларов процентов на отменённый антимонопольный штраф - «Новости сети»
22-06-2022, 14:52
Intel требует от Европы сотни миллионов долларов процентов на отменённый антимонопольный штраф - «Новости сети»
Си против Ма. За что Китай наказал Alibaba и что теперь будет с финтех-индустрией страны - «Экономика»
29-04-2021, 00:00
Си против Ма. За что Китай наказал Alibaba и что теперь будет с финтех-индустрией страны - «Экономика»
MEGANews. Самые важные события в мире инфосека за апрель - «Новости»
22-06-2022, 16:33
MEGANews. Самые важные события в мире инфосека за апрель - «Новости»
Инструкция по отвязке Apple ID от Iphone - «Мобильные устройства»
29-10-2020, 08:50
Инструкция по отвязке Apple ID от Iphone - «Мобильные устройства»
Apple M1 уязвим для атаки PACMAN, и это нельзя исправить - «Новости»
22-06-2022, 16:32
Apple M1 уязвим для атаки PACMAN, и это нельзя исправить - «Новости»
Комментарии (0)
Добавить
Комментарии для сайта Cackle
Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика