Intel LVI - kolejna luka w zabezpieczeniach przypomina Meltdown
Dopiero co (kilka dni temu) informowaliśmy o luce Converged Security and Management Engine (CSME) w procesorach Intel, a już została ujawniona kolejna. Może ona spowodować wyciek poufnych informacji. Problem prawdopodobnie występuje w przypadku układów Intel od Ivy Bridge do Comet Lake włącznie. Naukowcy nie wykluczają, że dotyczy to procesorów innych marek, ponieważ wszystkie z nich, które są podatne na Meltdown mogą być potencjalnie zagrożone. Pełne zabezpieczenie przed nową grupą luk w zabezpieczeniach Load Value Injection (LVI) wymaga od Intela przeprojektowania kompilatorów oprogramowania.
Zgodnie z raportem The Register, przeciwdziałanie na poziomie oprogramowania lub oprogramowania układowego dla tej luki może powodować obniżenie wydajności od 2x do 19x.
![Intel: LVI - kolejna luka w zabezpieczeniach, przypomina Meltdown [1]](https://www.purepc.pl/image/news/2020/03/11_intel_lvi_kolejna_luka_w_zabezpieczeniach_przypomina_meltdown_0_b.jpg)
Procesory Intel z kolejną luką bezpieczeństwa. Tej nie da się załatać
Atak wykorzystuje niedoskonałości mechanizmu przewidywania spekulatywnego (podobnie jak w przypadku luki Meltdown) w procesorach Intel. Okazuje się, że wspomniany Meltdown, czyli technika pobierania danych z pamięci komputera, może zostać odwrócona, aby ponownie wprowadzić dane, zatruwając w ten sposób informacje przechowywane w pamięci podczas krótkich operacji spekulacyjnych, przez co oszukiwane są mechanizmy bezpieczeństwa. Chociaż dane są wyrzucane po tych krótkotrwałych zadaniach, nadal mogą powodować problemy. Luka została opisana w dokumentacji o oznaczeniach CVE-2020-0551 i Intel-SA-00334.
![Intel: LVI - kolejna luka w zabezpieczeniach, przypomina Meltdown [4]](https://www.purepc.pl/image/news/2020/03/11_intel_lvi_kolejna_luka_w_zabezpieczeniach_przypomina_meltdown_3_b.jpg)
SPOILER - poważna luka we wszystkich procesorach Intel Core
Nie jest to zagrożenie, które można wywołać zdalnie, jednakże może zagrozić fizycznym serwerom, które obsługują wielu dzierżawców za pośrednictwem serwerów wirtualnych. LVI odwraca poprzednie ataki ekstrakcji danych, takie jak Meltdown, Foreshadow, ZombieLoad, RIDL i Fallout, i pokonuje wszystkie istniejące ograniczenia. Zamiast bezpośredniego wycieku danych od ofiary do atakującego, postępujemy w przeciwnym kierunku: przemycamy - "wstrzykujemy" - dane atakującego za pośrednictwem ukrytych buforów procesora do programu ofiary co umożliwia przejęcie przejściowego wykonania w celu uzyskania poufnych informacji, takich jak odciski palców ofiary lub hasła - twierdzą badacze z The Register.
![Intel: LVI - kolejna luka w zabezpieczeniach, przypomina Meltdown [2]](https://www.purepc.pl/image/news/2020/03/11_intel_lvi_kolejna_luka_w_zabezpieczeniach_przypomina_meltdown_1_b.png)
Powiązane publikacje
AMD Strix Point oraz Strix Halo - do sieci przedostała się dokumentacja firmy, omawiająca specyfikację układów Zen 5
12
AMD EPYC 4004 - nadchodzi nowa seria procesorów serwerowych. Może mieć wiele wspólnego z układami Ryzen 7000
14
AMD Strix Point - w GeekBench pojawił się test próbki inżynieryjnej nadchodzącego procesora Zen 5 dla laptopów
11
Qualcomm Snapdragon X Plus - poznaliśmy pierwsze informacje o specyfikacji i wydajności słabszego układu ARM dla laptopów
14
