Spectre衍生漏洞危及英特爾SGX安全區

今年早些時候全面曝光的 Spectre 和 Meltdown 處理器安全漏洞，讓整個計算機行業面臨著嚴重的信任危機，尤其是晶元巨頭英特爾。自 1995 年以來的所有現代微處理器，幾乎都受到了這兩個漏洞的影響，萬幸的是當前暫未出現利用它們的嚴重威脅。不過本文要著重警示的，卻是新款英特爾微處理器上所部署的「軟體保護擴展」功能（簡稱 SGX）。

SGX 旨在讓軟體程序在專屬的安全區運行，安全區會根據需求來創建、並擁有專屬的內存、與操作系統上的其它軟體隔離開來（比如虛擬機監控程序與操作系統本身）。

然而俄亥俄州立大學的研究人員們，卻發現了一個危及 SGX 安全區的 Spectre 衍生漏洞，且於近日公布了它的詳情（PDF）。

文章指出，這種新威脅被稱作 SgxPectre 。

它能夠讓 SFX 創建的安全區，像砸碎的堅果那樣敞開。

研究表明，儘管沒有被完全攻陷，該漏洞還是很容易被攻擊的。

我們當前所認為的很多速度和效率，其實都是藉助精心調校的投機性執行達成的：

英特爾的微處理器，會嘗試預測軟體想要執行的下一步，然而新研究曝光了 SgxPectre 的脆弱性。

濫用這種分值預測能力，會將信息中 SGX 創建的安全區域中梳理出來。

在向公眾曝光之前，俄亥俄州立大學的研究人員們，早已經向英特爾彙報過此事。

英特爾在一份聲明中回應道：「我們已經獲悉俄亥俄州立大學的研究論文，此前已提供過關於英特爾 SGX 可能受到的旁路分析漏洞影響的信息」。

預計該公司會在 3 月 16 號的時候，嚮應用程序提供商推送針對現有的 Spectre 和 Meltdown 漏洞的緩解方案、以及一個升級後的 SGX 軟體開發工具包，從而有效應對研究中描述的攻擊方法。

[編譯自：Neowin]

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！