多样性与包容

英特尔芯片的新缺陷让攻击者可以将自己的数据悄悄放入安全的飞地

字号+ 作者:admin 来源:小丑鱼-分享科普知识 2020-04-03 17:43

英特尔芯片的一个新缺陷可能使攻击者不仅可以查看通过系统的特权信息,还可以插入新数据。一般用户不必担心这个缺陷,但就我们信息安全面临的威胁而言,它是一个时代的标志。你可能熟悉Meltdown、Spectre和Heartbleed——这个名字显然不那么吸引人:LoadValueInjection,简称LVI。它是由BitDefender和一个由JoVa

英特尔芯片的一个新缺陷可能使攻击者不仅可以查看通过系统的特权信息,还可以插入新数据。一般用户不必担心这个缺陷,但就我们信息安全面临的威胁而言,它是一个时代的标志。

你可能熟悉Meltdown、Spectre和Heartbleed——这个名字显然不那么吸引人:Load Value Injection,简称LVI。它是由BitDefender和一个由Jo Van Bulck领导的多所大学的小组独立发现的。

该缺陷的确切技术细节(如本文所述)并不是普通用户能够理解或自行修复的。但以下是你应该知道的:LVI是一种普遍存在的缺陷,它与一种在所有现代芯片上都能找到的投机执行技术有关。

内核恐慌!Meltdown和Spectre是什么,它们是影响几乎所有计算机和设备的bug吗?

投机性执行有点像,如果有人开始在黑板上慢慢地写一道数学题,你决定先用10种可能解决问题的方法中的每一种来解决它。这样,当老师写完这道题时,你已经有答案了,只需要丢掉其他的就可以了。

最近,这个过程被证明是不安全的,因为通过小心地戳戳芯片最深层的代码,你可以让它吐出通常高度保护和加密的数据。但是当Meltdown和Spectre想要强迫泄漏时,LVI却更进一步,让攻击者在过程中加入新的值,让它以他们喜欢的方式出现。更重要的是,这一切都发生在新加坡证交所的地盘内。旨在成为一个坚不可摧的子系统,可以信任是安全的。

英特尔芯片的新缺陷让攻击者可以将自己的数据悄悄放入安全的飞地

这些过程在计算机的多层代码和执行中是如此之深,以至于很难说它们能做什么,不能做什么。最安全的假设是,对于这样一个基本问题——让攻击者用自己的安全值替代某些安全值——整个事情都受到了损害。

当然,会有一些缓解,但是它们会严重影响芯片的性能。然而,它们必须安装在任何有这一缺陷的暴露的芯片上——这几乎是任何去年以前生产的现代英特尔芯片。

Intel自己也非常清楚这个问题,事实上,它发布了一份30页的LVI技术总结和它所支持的各种特定攻击。然而,我们在一开始就要小心地注意到,这并不是那种会被广泛使用的事情:

由于要成功地实现LVI方法,必须满足大量复杂的需求,因此LVI在实际环境中并不是一种实用的开发方法。读取。

这就是为什么你不需要担心它的原因。简单的事实是,你可能不是这次攻击的理想目标。做到这一点并不容易,作为个人,你的数据最好是通过传统方式(网络钓鱼等)获得,或者在数据中心级别批量收集。因此,重要的不是你要尽快更新你的电脑,而是那些拥有并运行数百万台服务器的公司在这样做。

然而,即使这样,没有公开暴露的系统也可能或多或少地无法被攻击者访问,即使他们访问了,他们也可能无法处理任何值得获取的数据。因此,最终将由这些公司来决定它们的优先级,然后由英特尔等芯片制造商来设计未来的芯片和架构,不存在像LVI和其他内置芯片那样的缺陷。当然,考虑到这些系统的复杂性,这是相当困难的,但事实就是如此。

你可以在网站上了解更多关于LVI的信息。或者你可以直接看搞笑的《茶馆》。发现这一缺陷的研究团队总结如下:

& # 8216;Plundervolt& # 8217;攻击会对系统造成冲击,从而破坏芯片的安全性

转载请注明出处。

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。转载请注明seohttp://www.swlxs.com

相关文章