Hertzbleed可利用Intel/AMD处理器提频漏洞来窃取加密密钥
(来自:Hertzbleed网站)
该攻击通过监视任何加密工作负载的功率签名(power signature)侧信道漏洞而实现,与 CPU 中的其它因素一样,处理器功率会因工作负载的变化而有所调整。
但在观察到此功率信息之后,Hertzbleed 攻击者可将之转换为计时数据(timing data),进而窃取用户进程的加密密钥。
● 目前 Intel 和AMD均已公布易受 Heartzbleed 漏洞攻击影响的系统,可知其影响 Intel 全系和 AMD Zen 2 / Zen 3 处理器。
● 前者被分配了 Intel-SA-00698 和 CVE-2022-24436 这两个漏洞 ID,后者则是 CVE-2022-23823 。
原理示意(图自:Intel网站)
更糟糕的是,攻击者无需物理访问设备、即可远程利用 Hertzbleed 漏洞。
之后两家芯片公司将提供基于微码的修补缓解措施,以防止此类漏洞被攻击者继续利用。
略为庆幸的是,英特尔声称此类攻击在实验室研究之外并不那么实用,因为据说窃取加密密钥需耗费数小时到数天。
至于漏洞补丁可能造成的 CPU 性能损失,还是取决于具体的应用场景。
转载声明:本文为转载发布,仅代表原作者或原平台态度,不代表我方观点。今日澳洲仅提供信息发布平台,文章或有适当删改。对转载有异议和删稿要求的原著方,可联络content@sydneytoday.com。
相关新闻
今日评论
网友评论仅供其表达个人看法,并不表明网站立场。
最新评论(0)
暂无评论
热评新闻