Intel、AMD 處理器晶片的安全性漏洞 – 2020

0

CPU 的兩大品牌 Intel 和 AMD 近日都被爆出有漏洞,不過這些漏洞看來影響都還不算太嚴重。

  • 註:Intel 的 CSME 和 AMD Take A Way 的漏洞一起發布,然後昨天 Intel 又一個旁路攻擊(LVI) 發布。

Intel、AMD 處理器晶片的安全性漏洞

近期 Intel 的晶片被爆出來的安全漏洞非常多,AMD 這次也中鏢了,不過這次一個蠻有趣的點,發現 AMD 漏洞的團隊是有收取 Intel 資金補助的~ XD

這次純粹紀錄 AMD 和 Intel 的鬥爭,因為漏洞本身也沒什麼解法,就紀錄個有趣的事件而已~

Intel 此次的漏洞 (CSME)無法修補,不過可以檢測,新款的 CPU (第10代以後)就沒有此漏洞

下述摘錄自此篇:Intel 晶片被發現有無法修補的安全 性漏洞

  • 這漏洞存在於開機階段,所以無法靠更新來修補,但也不容易被利用就是了。
  • 這個漏洞存在於 Intel 的「聚合式安全與管理引擎(CSME)」之中,這個晶片的子單元控制開機、電力、韌體載入和加密等功能,是電腦開機時第一個啟動的部份,而且程式碼是寫死在處理器之中,因此基本上是無法被打上補丁的。
  • 這個漏洞除了要有相當深入的知識和專門的工具之外,更重要的是要能實際掌握硬體本身,因此並沒有從遠端被攻擊的危險。

下述摘錄自此篇:AMD 過去九年推出的處理器都有漏露資料的風險(更新:AMD 回應)

  • 安全專家在數個月前就將這個名為「Take A Way」的漏洞告知 AMD,但 AMD 一直沒有動作。
  • 這個漏洞利用了 Level 1 快取的預測機制來設法取得記憶體內容,由 2011 年的 Athlon 64 X2 至今的 Threadripper 晶片皆受影響。
  • 有點妙的是,這個研究團隊有收取來自 Intel 的資金,讓人對他們的研究結果與目的多少帶有一些疑慮。
  • AMD 回應:對於 Take A Way 漏洞,AMD 在安全性公告中表示他們不認為這是個新的攻擊方式,而是重複利用了已知且已填補的漏洞而已。
  • AMD繼續建議下列最佳方法以幫助解決旁路問題

    • 透過更新系統軟體及韌體以確保作業系統是最新版本,當中包含已經針對預測執行安全漏洞的解決措施
    • 遵行安全編程方法
    • 使用關鍵函式庫的最新修補版本,包括容易受到旁路攻擊的部分
    • 安全操作電腦,並且安裝執行防毒軟體

Intel LVI 漏洞

相關網頁

Leave A Reply

Your email address will not be published.