今年早些時候全面曝光的Spectre和 Meltdown 處理器安全漏洞,讓整個計算機行業面臨著嚴重的信任危機,尤其是晶片巨頭英特爾。自 1995 年以來的所有現代微處理器,幾乎都受到了這兩個漏洞的影響,萬幸的是當前暫未出現利用它們的嚴重威脅。不過本文要著重警示的,卻是新款英特爾微處理器上所部署的“軟體保護擴充套件”功能(簡稱 SGX)。
SGX 旨在讓軟體程式在專屬的安全區執行,安全區會根據需求來建立、並擁有專屬的記憶體、與作業系統上的其它軟體隔離開來(比如虛擬機器監控程式與作業系統本身)。
然而俄亥俄州立大學的研究人員們,卻發現了一個危及 SGX 安全區的 Spectre 衍生漏洞,且於近日公佈了它的詳情(PDF)。
● 文章指出,這種新威脅被稱作 SgxPectre 。
● 它能夠讓 SFX 建立的安全區,像砸碎的堅果那樣敞開。
● 研究表明,儘管沒有被完全攻陷,該漏洞還是很容易被攻擊的。
我們當前所認為的很多速度和效率,其實都是藉助精心調校的投機性執行達成的:
英特爾的微處理器,會嘗試預測軟體想要執行的下一步,然而新研究曝光了 SgxPectre 的脆弱性。
濫用這種分值預測能力,會將資訊中 SGX 建立的安全區域中梳理出來。
在向公眾曝光之前,俄亥俄州立大學的研究人員們,早已經向英特爾彙報過此事。
英特爾在一份宣告中回應道:“我們已經獲悉俄亥俄州立大學的研究論文,此前已提供過關於英特爾 SGX 可能受到的旁路分析漏洞影響的資訊”。
預計該公司會在 3 月 16 號的時候,嚮應用程式提供商推送針對現有的 Spectre 和 Meltdown 漏洞的緩解方案、以及一個升級後的 SGX 軟體開發工具包,從而有效應對研究中描述的攻擊方法。
來源:cnbeta