您的位置: 首頁(yè) >互聯(lián)網(wǎng) >

英特爾收到有關(guān)旁道漏洞的研究通知

2019-06-06 17:12:27 編輯: 來(lái)源:
導(dǎo)讀 英特爾的超線程技術(shù)最近出現(xiàn)在新聞中,而這一切都與發(fā)現(xiàn)針對(duì)稱(chēng)為PortSmash的 CPU的攻擊漏洞有關(guān)。它可以竊取解密密鑰。什么是超線程?Tom的

英特爾的超線程技術(shù)最近出現(xiàn)在新聞中,而這一切都與發(fā)現(xiàn)針對(duì)稱(chēng)為PortSmash的 CPU的攻擊漏洞有關(guān)。它可以竊取解密密鑰。

什么是超線程?Tom的硬件提供了這個(gè)定義,來(lái)自Scharon Harding:“超線程是英特爾同步多線程(SMT)的術(shù)語(yǔ)。這是一個(gè)CPU將每個(gè)物理內(nèi)核分成虛擬內(nèi)核的過(guò)程,這些內(nèi)核稱(chēng)為線程...... Hyper -Threading允許每個(gè)內(nèi)核同時(shí)執(zhí)行兩項(xiàng)操作。它通過(guò)提高處理器的效率來(lái)提高CPU性能,從而允許您同時(shí)運(yùn)行多個(gè)要求苛刻的應(yīng)用程序,或者在沒(méi)有PC 滯后的情況下使用大量線程的應(yīng)用程序。

BleepingComputer的Lawrence Abrams表示,SMT /超線程方法可以提高性能,因?yàn)閮蓚€(gè)線程將更有效地使用空閑CPU資源來(lái)更快地執(zhí)行指令。

盡管如此,由于安全觀察人員將此漏洞稱(chēng)為PortSmash側(cè)漏洞或超線程CPU漏洞或超線程攻擊,漏洞發(fā)現(xiàn)本月成為焦點(diǎn)。

誰(shuí)確定了攻擊?登記冊(cè)提到“古巴和芬蘭的brainiacs”。研究人員來(lái)自坦佩雷坦佩雷技術(shù)大學(xué)和哈瓦那技術(shù)大學(xué)。

The Register中的托馬斯·克拉本說(shuō),如果受到監(jiān)視的進(jìn)程正在執(zhí)行某種加密,則PortSmash 進(jìn)程可能共享相同的CPU核心,從其受害者程序中提取秘密信息,例如解密密鑰。

TechSpot稱(chēng)為PortSmash“危險(xiǎn)的副信道的漏洞”。Security Boulevard的 Kellep Charles 解釋了旁道技術(shù)的含義。查爾斯表示,它用于“從計(jì)算機(jī)的內(nèi)存或CPU泄漏加密數(shù)據(jù),這也將記錄和分析操作時(shí)間,功耗,電磁泄漏甚至聲音的差異,以獲得可能有助于破壞加密算法和恢復(fù)CPU處理過(guò)的數(shù)據(jù)。“

技術(shù)觀察網(wǎng)站報(bào)道了關(guān)于同時(shí)多線程利用的咨詢(xún); 報(bào)道還稱(chēng),官方研究報(bào)告將在稍后公布。

該通報(bào)的標(biāo)題為“CVE-2018-5407:SMT /超線程架構(gòu)上的新的側(cè)通道漏洞”,來(lái)自Billy Brumley。

Claburn寫(xiě)道,Brumley建議的解決方案是在處理器芯片的BIOS中禁用SMT /超線程。出于安全原因,OpenBSD已經(jīng)禁用了英特爾的超線程。

Ars Technica的 Dan Goodin 表示,攻擊是在運(yùn)行Intel Skylake和Kaby Lake芯片以及Ubuntu的服務(wù)器上進(jìn)行的。

這個(gè)BleepingComputer部分是研究團(tuán)隊(duì)成員Nicola Tuveri分享的另一個(gè)團(tuán)隊(duì)成員Billy-Bob Brumley如何向他的女兒解釋這次攻擊:

“你有一袋果凍豆。我有一袋果凍豆。我們把它們倒進(jìn)同一個(gè)漏斗里。我看不到你或你的果凍豆。但是我倒糖果豆的速度取決于關(guān)于你正在倒糖果的速度。如果你的速度取決于秘密,我可以通過(guò)計(jì)算我的果凍豆進(jìn)入漏斗的速度來(lái)了解這個(gè)秘密。“

至于披露,他們告知英特爾。他們發(fā)表了一個(gè)概念證明。

一些報(bào)道該團(tuán)隊(duì)調(diào)查結(jié)果的網(wǎng)站也發(fā)表了英特爾的聲明:

“這個(gè)問(wèn)題不依賴(lài)于推測(cè)性執(zhí)行,因此與Spectre,Meltdown或L1終端故障無(wú)關(guān)。我們預(yù)計(jì)它不是英特爾平臺(tái)獨(dú)有的。側(cè)通道分析方法的研究通常側(cè)重于操縱和測(cè)量特性,例如,共享硬件資源的時(shí)間安排。通過(guò)采用側(cè)通道安全開(kāi)發(fā)實(shí)踐,可以保護(hù)軟件或軟件庫(kù)免受此類(lèi)問(wèn)題的影響。“

Goodin寫(xiě)道,繼續(xù)前進(jìn),OpenSSL 開(kāi)發(fā)人員發(fā)布了一個(gè)使PortSmash不可行的更新。

“ 使用CVE-2018-5407標(biāo)識(shí)符在CVE漏洞跟蹤系統(tǒng)中跟蹤PortSmash.OpenSSL項(xiàng)目還發(fā)布了版本1.1.1,可防止PortSmash攻擊恢復(fù)OpenSSL數(shù)據(jù),” ZDNet的 Catalin Cimpanu表示。


免責(zé)聲明:本文由用戶(hù)上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。