Hertzbleed可利用Intel/AMD处理器提频漏洞来窃取加密密钥
(来自:Hertzbleed网站)
该攻击通过监视任何加密工作负载的功率签名(power signature)侧信道漏洞而实现,与 CPU 中的其它因素一样,处理器功率会因工作负载的变化而有所调整。
但在观察到此功率信息之后,Hertzbleed 攻击者可将之转换为计时数据(timing data),进而窃取用户进程的加密密钥。
● 目前 Intel 和AMD均已公布易受 Heartzbleed 漏洞攻击影响的系统,可知其影响 Intel 全系和 AMD Zen 2 / Zen 3 处理器。
● 前者被分配了 Intel-SA-00698 和 CVE-2022-24436 这两个漏洞 ID,后者则是 CVE-2022-23823 。
原理示意(图自:Intel网站)
更糟糕的是,攻击者无需物理访问设备、即可远程利用 Hertzbleed 漏洞。
之后两家芯片公司将提供基于微码的修补缓解措施,以防止此类漏洞被攻击者继续利用。
略为庆幸的是,英特尔声称此类攻击在实验室研究之外并不那么实用,因为据说窃取加密密钥需耗费数小时到数天。
至于漏洞补丁可能造成的 CPU 性能损失,还是取决于具体的应用场景。
今日评论
网友评论仅供其表达个人看法,并不表明网站立场。
最新评论(0)
暂无评论
热评新闻