Technologie

Nalezena nová chyba zabezpečení čipu Intel „Load Value Injection“

Nalezena nová chyba zabezpečení čipu Intel „Load Value Injection“

Po Spectre a Meltdown jsou čipy Intel znovu ve zprávách o nové zranitelnosti. Nejnovější hrozba se nazývá Load Value Injection a tam umožňuje útočníkům přístup k Intel Guard Guard eXstensions (SGX) - část odpovědná za ukládání citlivých informací.

„LVI je nová třída útoků s přechodným prováděním využívající mikroarchitektonické chyby v moderních procesorech k vstřikování dat útočníků do programu oběti a odcizení citlivých dat a klíčů z Intel SGX, bezpečné paměti v procesorech Intel pro vaše osobní údaje.“, napsali vědci na webu podrobně popisující zranitelnost.

Tuto chybu zabezpečení poprvé objevili vědci z imec-DistriNet, KU Leuven, Worcester Polytechnic Institute, Graz University of Technology, University of Michigan, University of Adelaide a Data61. To bylo poté nezávisle objeveno profesionály z firmy Bitdefender pro kybernetickou bezpečnost.

Stejně jako Spectre využívá LVI spekulativní provedení. Jak podrobně uvedli vědci, LVI je hybridem Spectre a Meltdown, kde útočníci získávají schopnost měnit nebo vkládat data do systému SGX. Níže je vývojový diagram demonstrující proces.

Kredity: Lviattack.eu

Pravděpodobně si nemusíte dělat starosti s LVI, protože útok je sám o sobě velmi složitý a běžní uživatelé nejsou pro tento útok ideálním cílem. "Rozhodující je, že LVI je mnohem těžší zmírnit než předchozí útoky, protože může ovlivnit prakticky jakýkoli přístup k paměti." Na rozdíl od všech předchozích útoků typu Meltdown nelze LVI transparentně zmírnit ve stávajících procesorech a vyžaduje drahé softwarové opravy, které mohou zpomalit výpočty enklávy Intel SGX 2 až 19krát. “

Intel si je vědom situace a dal této zranitelnosti „střední“ závažnost. Ve skutečnosti výrobce čipů začal vydávat aktualizaci pro SGX Platform Software (PSW) a SDK, aby tento problém zmírnil.

Intel říká k LVI: „Vzhledem k mnoha složitým požadavkům, které musí být splněny, aby bylo možné úspěšně provést metodu LVI, Intel nevěří, že LVI je praktickým využitím v reálných prostředích, kde jsou důvěryhodné OS a VMM.“

Více se o LVI dozvíte v podrobném výzkumném dokumentu zveřejněném na tomto webu. Nezapomeňte se také podívat na dramatické ukázkové video a ukázkové video zveřejněné vědci.

Vítězem soutěže Facebook Hacker Cup 2012 je Roman Andreev z Ruska [Pics]
Tisíce účastníků prošly řadou kvalifikačních kol, ale pouze 25 soutěžících bylo vybráno do finále, které se včera konalo na ústředí Facebooku v Menlo ...
Rok 2011 očima Google [Video]
Google se s tímto úžasným videem rozloučil s rokem 2011. Milovali jsme to a jsme si jisti, že se vám bude líbit také. Podívejte se, jak svět prohled...
5 druhů uživatelů Twitteru na základě jejich chování
Když jsem před rokem začal používat Twitter, moje první reakce byla: „Kde je chatovací pole?“ a poté, co jsem zjistil, že nemůžeme chatovat na Twitter...