Spectre衍生漏洞危及英特爾SGX安全區
今年早些時候全面曝光的 Spectre 和 Meltdown 處理器安全漏洞,讓整個計算機行業面臨著嚴重的信任危機,尤其是晶元巨頭英特爾。自 1995 年以來的所有現代微處理器,幾乎都受到了這兩個漏洞的影響,萬幸的是當前暫未出現利用它們的嚴重威脅。不過本文要著重警示的,卻是新款英特爾微處理器上所部署的「軟體保護擴展」功能(簡稱 SGX)。
SGX 旨在讓軟體程序在專屬的安全區運行,安全區會根據需求來創建、並擁有專屬的內存、與操作系統上的其它軟體隔離開來(比如虛擬機監控程序與操作系統本身)。
然而俄亥俄州立大學的研究人員們,卻發現了一個危及 SGX 安全區的 Spectre 衍生漏洞,且於近日公布了它的詳情(PDF)。
文章指出,這種新威脅被稱作 SgxPectre 。
它能夠讓 SFX 創建的安全區,像砸碎的堅果那樣敞開。
研究表明,儘管沒有被完全攻陷,該漏洞還是很容易被攻擊的。
我們當前所認為的很多速度和效率,其實都是藉助精心調校的投機性執行達成的:
英特爾的微處理器,會嘗試預測軟體想要執行的下一步,然而新研究曝光了 SgxPectre 的脆弱性。
濫用這種分值預測能力,會將信息中 SGX 創建的安全區域中梳理出來。
在向公眾曝光之前,俄亥俄州立大學的研究人員們,早已經向英特爾彙報過此事。
英特爾在一份聲明中回應道:「我們已經獲悉俄亥俄州立大學的研究論文,此前已提供過關於英特爾 SGX 可能受到的旁路分析漏洞影響的信息」。
預計該公司會在 3 月 16 號的時候,嚮應用程序提供商推送針對現有的 Spectre 和 Meltdown 漏洞的緩解方案、以及一個升級後的 SGX 軟體開發工具包,從而有效應對研究中描述的攻擊方法。
[編譯自:Neowin]
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※聯想發布「VR課堂」產品套裝 搭配可單獨使用的Daydream頭戴式裝置
※谷歌租下北京6000平米寫字樓 疑似為AI業務鋪盤
TAG:希恩貝塔 |