Услуги по информационной безопасности
| +7 812 703 02 91 |

Эксперты представили сразу две Meltdown-подобные атаки на ЦП AMD

Эксперты представили сразу две Meltdown-подобные атаки на ЦП AMD

Атаки имеют те же последствия, что и Meltdown, к которой процессоры AMD ранее считались неуязвимыми.

image

За последние два месяца специалисты опубликовали целых два исследования, посвященные атакам по сторонним каналам на процессоры AMD. Атаки имеют те же последствия, что и печально известная атака Meltdown, к которой процессоры AMD ранее считались неуязвимыми.

В общих чертах, Meltdown позволяет вредоносным приложениям злоупотреблять функцией спекулятивного выполнения с целью сломать барьер между приложениями и ядром операционной системы.

Как пояснили специалисты, атака позволяет вредоносному приложению похищать из ядра чувствительную информацию, такую как пароли, ключи шифрования и пользовательские данные, к которым при нормальных условиях у приложений не должно быть доступа.

Изначально авторы Meltdown сообщали, что их атака работает только на процессорах Intel, но не на AMD, поскольку функция спекулятивного выполнения в них работает по-другому. Как стало известно через некоторое время, атаке также подвержены процессоры ARM, однако AMD по-прежнему считались неуязвимыми.

Тем не менее, спустя почти три года специалисты Дрезденского технического нашли метод атаки на процессоры AMD, которую он и охарактеризовали как Meltdown-подобную технику.

В нынешнем месяце было опубликовано второе исследование, описывающее еще один способ осуществления Meltdown-подобной атаки на AMD. Авторами атаки являются трое исследователей, которые в 2018 году разработали оригинальную атаку Meltdown. Метод основывается на использовании инструкций x86 PREFETCH и точно так же позволяет похищать данные из пространства ядра.

Компания AMD признала состоятельность обоих исследований и подтвердила, что уязвимыми являются все процессоры AMD. Тем не менее, она не выпустила никаких обновлений прошивки (уязвимости получили идентификаторы CVE-2020-12965 и CVE-2021-26318), а призвала разработчиков ПО следовать методологии безопасного кодинга.


Internet Archive увидел мрачное будущее интернета в 2046, хакеры слили данные о заработках в Twitch, Conti встали на тропу войны, а США готовятся к ежедневной борьбе с кибервымогателями. И как всегда еженедельные конкурсы с крутыми призами для подписчиков канала! Смотрите 35-й выпуск наших новостей.

Дата: 2021-10-14 05:37:03

Источник: https://www.securitylab.ru/news/525605.php