聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
研究人员指出,该漏洞根植于热功耗管理特性动态电压频率调整 (DVFS)中。DVFS用于节约用电并减少芯片产生的热量。他们表示,“原因在于,在某些情况下,定期的CPU频率调整取决于当前的CPU功耗,这些调整直接转换为执行时间差异(如1赫兹 = 1周秒)。” 即使作为常数时间代码正确执行阻止基于定时的侧信道,这就会对加密库造成重大安全风险,从而导致攻击者利用执行时间差异提取敏感信息如加密密钥。
AMD 和 Intel 均发布安全公告(AMD:CVE-2022-23823和Intel:CVE-2022-24436),而Intel 表示所有Intel 处理器均受 Hertzbleed 漏洞影响。目前尚无补丁。
AMD 表示,“由于该漏洞影响具有基于功耗分析的侧信道泄露的加密算法,因此攻击者可对算法的软件代码应用应对措施。可通过掩蔽、隐藏或密钥修改方式缓解该攻击。”
虽然上不存在补丁,但Intel 建议加密开发人员按照指南加固库和应用程序的安全,应对频率调整信息泄露。
这并非研究员首次发现可从Intel 处理器中嗅探数据的新型方法。2021年3月,Hertzbleed 的两名合著者展示了“片上跨内核”侧信道攻击针对Intel Coffee Lake 和 Skylake 处理其中使用的环形互联。
研究人员总结称,“我们获得的启示是当前关于如何写常数时间代码的加密工程实践已不足以保证在现代的变量频率处理器上执行软件常数时间。”
https://thehackernews.com/2022/06/new-hertzbleed-side-channel-attack.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):新型侧信道漏洞 Hertzbleed 影响所有AMD 和 Intel CPU
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论