英特尔的芯片面临着狡猾的研究人员发现的新漏洞的冲击,今天发现该公司面临着另一个新漏洞,即负载值注入(LVI),Bitdefender的新闻稿称该漏洞对数据中心服务器“特别具有破坏性” 。LVI影响从第三代Ivy Bridge芯片到第十代Comet Lake处理器的所有Core系列。
根据研究人员对ZDNet的声明,该攻击基于Intel已在软件中修补的Meltdown漏洞,但LVI仍可在具有必需软件修复程序的系统上运行。因此,据报道英特尔将需要使用硬件修复程序来完全阻止LVI攻击媒介。
根据研究人员采用的实验性修复方法,潜在的缓解措施所导致的性能下降可能会因工作负载而异,从2倍变为19倍,但可以用新芯片中基于硬件的修复方法来抵消。
值得注意的是,该漏洞(CVE-2020-0551)被称为“允许攻击者向某些微体系结构中注入恶意值,然后由受害者使用,这可能会导致泄露秘密”。这样可以进行数据盗窃,但是据称可以揭示内存中保留的加密或密码,从而使攻击者可以控制目标计算机。
研究人员认为,这种攻击需要将数据放到SGX Enclave中,理论上可以通过JavaScript来执行。这意味着不需要物理访问计算机,但是研究人员尚未测试该攻击媒介。对于多租户环境,例如在基于云的实例中发现的环境,该攻击可能允许监听相邻实例。但是,研究人员还指出,该漏洞非常难以利用,这意味着它对大多数用户不是迫在眉睫的威胁。
英特尔已经发布了有关LVI缺陷的完整分析,并指出:“由于成功实施LVI方法必须满足众多复杂的要求,因此LVI在可信赖的OS和VMM的实际环境中并不是切实可行的利用方法[..]因此,系统管理员和应用程序开发人员在决定是否以及在何处减轻LVI时应仔细考虑适用于其系统的特定威胁模型。”
该缺陷是由Bitdefender发现的,并由一组研究人员进行了验证,这些研究人员过去曾暴露过Intel,AMD,ARM和IBM体系结构中的主要缺陷。然后,Bitdefender创建了概念的综合证明,并将其发布到GitHub。研究人员由英特尔,AMD和ARM资助。
Bitdefender声称它于2020年2月10日与英特尔共享了攻击。该公司还声称,Meltdown,Spectre和MDS的现有缓解措施不足以缓解新漏洞,并且完整的修复程序当前需要禁用超线程或购买新硬件。带有硅内修复。目前,它由Ice Lake系列和不属于Silvermont和Airmont系列的Atom处理器组成。
英特尔向我们提供了有关LV1漏洞的以下声明:
负载值注入声明:“研究人员已经确定了一种称为负载值注入(LVI)的新机制。由于要成功执行必须满足许多复杂的要求,因此英特尔不认为LVI在可信任OS和VMM的现实环境中是一种实用的方法。LVI的新缓解指南和工具现已上市,可与先前发布的缓解措施结合使用,以大幅减少总体攻击面。我们感谢与我们合作的研究人员以及我们的行业合作伙伴为协调披露此问题所做的贡献。”