首页 > 动态中心 > 行业动态  >  正文

Inception 漏洞曝光:影响所有 AMD Zen 处理器,可泄露敏感数据

2023-08-10 16:37:08

文章摘要:8 月 9 日消息,来自苏黎世联邦理工学院的科研团队近日发现了名为“Inception”的攻击漏洞,表示包括最新型号在内,所有 AMD Zen CPU 均存在漏洞。  该团队结合名为“Phantom speculation”的旧技术,和名为“Training in Transient Execution”(TTE)的瞬态执行攻击(Transient Execution Attacks)技术,创

 Inception 漏洞曝光:影响所有 AMD Zen 处理器,可泄露敏感数据(图1) 8 月 9 日消息,来自苏黎世联邦理工学院的科研团队近日发现了名为“Inception”的攻击漏洞,表示包括最新型号在内,所有 AMD Zen CPU 均存在漏洞。

  该团队结合名为“Phantom speculation”的旧技术,和名为“Training in Transient Execution”(TTE)的瞬态执行攻击(Transient Execution Attacks)技术,创建出了更强大的“Inception”攻击方式。

  Inception 漏洞曝光:影响所有 AMD Zen 处理器,可泄露敏感数据(图1)注:

  Phantom speculation:追踪编号 CVE-2022-23825,在任意 XOR 指令处创建推测执行周期(瞬态窗口),允许攻击者触发错误预测。

  TTE:通过向分支预测器注入新的预测来操纵未来的错误预测,以此来创建可利用的推测执行。

  Inception 攻击:追踪编号 CVE-2023-20569,结合上述两种方式的新型攻击方式,让 CPU 相信 XOR 指令(简单二进制操作)是递归调用指令。

  该漏洞会导致返回堆栈缓冲区溢出,目标地址由攻击者控制,从而允许攻击者从任何 AMD Zen CPU 上运行的非特权进程中泄露任意数据

  即便 CPU 已经部署了推测性执行攻击(如 Spectre)或瞬时控制流劫持(如自动 IBRS)缓解措施,依然存在泄露的可能。

  此外,通过 Inception 实现的数据泄露率为 39 字节 / 秒,窃取一个 16 个字符的密码大约需要半秒,窃取一个 RSA 密钥大约需要 6.5 秒。

Inception 漏洞曝光:影响所有 AMD Zen 处理器,可泄露敏感数据(图3)

  研究人员表示,包括从 Zen 1 到 Zen 4,所有基于 AMD Zen 架构的 Ryzen 和 EPYC CPU,都受到 Phantom 和 Inception 的影响。

  英特尔 CPU 虽然也受到 TTE 变种的影响,但由于 eIBRS 缓解措施,攻击者很难在英特尔处理器上使用 Phantom。

  苏黎世联邦理工学院团队创建的概念验证虽然是在 Linux 上执行的,不过由于这是 AMD CPU 的硬件缺陷,而非软件,因此所有使用 AMD CPU 的系统都存在风险。

Inception 漏洞曝光:影响所有 AMD Zen 处理器,可泄露敏感数据(图4)

  AMD 官方随后发布评论:

  AMD 已经收到了关于“INCEPTION”的外部报告,这是一种新的投机性侧信道攻击方式。

  AMD 通过现有证据表明,只有在下载恶意软件等场景下,在本地利用该漏洞。

  AMD 推荐用户升级到新的驱动版本,以及最新的恶意软件检测工具,并建议客户采用安全最佳实践,提高设备安全性。

  AMD 尚未在研究环境之外,发现有任何利用“Inception”漏洞的行为。

  AMD 推荐基于 Zen 3 和 Zen 4 的用户尽快安装 code 修补程序且升级 BIOS 更新。

  对于基于“Zen”或“Zen 2”CPU 架构的产品,无需 code 修补程序或 BIOS 更新,因为这些架构已被设计为从分支预测器中清除分支类型预测。

  AMD 计划向 AMD 安全公告中列出的原始设备制造商(OEM)、原始设计制造商(ODM)和主板制造商发布更新的 AGESA 版本。请咨询您的 OEM、ODM 或主板制造商,以获取特定于您产品的 BIOS 更新。

来源:IT之家

上一篇 : 受多起数据泄露事件影响,微软被指“不注重网络安全”
  • 相关推荐
  • 企业防泄密要怎么做?企业防泄密指南:六招堵住风险漏洞

    在数字化时代,企业信息安全面临前所未有的挑战。数据泄露不仅可能导致经济损失,还可能损害企业声誉和客户信任。为了有效防范泄密风险,企业必须采取一系列措施来加强信息安全防护。本指南将为您介绍六招实用的防泄密策略,帮助您堵住风险漏洞,确保企业信息安全无虞。无论是加强员工安全意识、部署专业防泄密软件,还是实施严格的访问控制,每...

    2024-09-30 10:55:14
  • 上网行为审计软件丨紧盯小毛病,堵住大漏洞,守好钱袋子

    上网行为审计软件是一种专门用于监控和分析员工或学生在计算机网络上的行为的软件。它可以帮助企业和家庭了解员工或学生的网络使用情况,发现和防止潜在的安全风险,提高工作效率和保护企业信息安全。 洞察眼软件---上网行为审计系统的作用: https://www.dongchayan.cn/https://www.dongcha...

    2024-03-25 17:46:20
  • 监管局曝光“科技外包”数据安全风险!银行被要求全面整改!

    近日,国家金融监督管理总局办公厅近日向各银保监局、银行保险机构等下发《关于加强第三方合作中网络和数据安全管理的通知》,要求各银行保险机构对照通报问题,深入排查供应链风险隐患,切实加强整改。《通知》称,近期部分银行保险机构的外包服务商发生多起安全风险事件,包括:一、某数据中心托管服务商的客户服务系统存在 SQL注入和文件...

    2023-09-01 00:00:00
  • 曝光!澳大利亚800万用户信息遭大规模泄露,引发数据安全危机!

      三月初,澳大利亚非银行贷款机构Latitude Financial遭遇了一次网络攻击,内部大量数据泄露最新情况表明,其后果可能比先前预估的更加严重。  该公司于近日首次透露了这起攻击事件,称有33万客户的数据遭到泄露,而最近,该公司承认受影响的客户数量可能达到了800万之多。...

    2023-09-01 00:00:00
  • 揭露黑客利用WordPress插件漏洞:数百万网站岌岌可危

      在XSS攻击中,威胁参与者将恶意JavaScript脚本注入易受攻击的网站,这些脚本将在访问者的Web浏览器中执行。影响可能包括未经授权访问敏感信息、会话劫持、通过重定向到恶意网站感染恶意软件或完全破坏目标系统导致数据泄露。  此次攻击活动中利用的安全漏洞已于1月份通过2.1...

    2023-09-01 00:00:00
  • 浙江公司开发系统惊现数据泄露漏洞,被罚百万元!用户权益何时得到保障?

      据悉,这家公司负责为政府部门开发的系统涉及到大量的个人和机密信息,包括身份证号码、银行账户信息以及其他敏感数据。然而,由于该公司在系统开发和数据管理过程中存在严重的安全漏洞和不当操作,导致黑客入侵并窃取了大量数据。这一事件给政府部门、企业以及广大公众带来了巨大的困扰和风险。 &emsp...

    2023-09-01 00:00:00
  • 数据泄露危机!企业应对之策曝光,保护您的核心资产

      1.内部员工的数据访问权限  限制员工的数据访问权限:根据员工的职责和需要,将数据访问权限分配给不同的员工。只有必要的员工才能访问敏感数据,从而减少数据泄露的风险。  实施严格的数据访问控制策略:使用身份验证、访问控制列表和加密等技术,确保只有授权人员能够...

    2023-09-01 00:00:00
  • 曝光!上海通报5起涉密泄密案例:工作人员违规外发引发安全风暴

      1.未按规定保密提醒导致涉密敏感数据泄露。某区级机关干部路某在交付相关材料给招标代理公司时,未按规定进行保密提醒,招标代理人员戴某某将其中一份涉密敏感材料通过互联网上传并引发炒作。案件发生后,路某受到党内严重警告处分,所在部门主要负责人王某某被责令深刻检查,招标代理公司相关责任人戴某某被扣发绩效...

    2023-09-01 00:00:00
  • 曝光!公司网络数据泄露隐患,警方对其违反数据安全法开出罚单

      据悉,此案是中山市在数据安全领域的一次重要打击行动,也是数据安全法实施以来,中山市公安机关首次对违法行为进行行政处理的典型案例。该案件的查处表明中山市对数据安全问题持零容忍态度,将严厉打击各类侵犯数据安全的违法行为。  数据安全一直是社会各界关注的焦点问题,特别是在信息化、数...

    2023-09-01 00:00:00
  • 加密软件可以监控电脑微信聊天吗(加密软件监控微信聊天?真相曝光后,你会大吃一惊!)

    摘要:加密软件监控微信聊天的真相曝光后,将会让人大吃一惊。本文主要介绍加密软件的功能和用途,以及相关科普知识。加密软件的功能和用途1、加密保护:加密软件可以对通信内容进行加密保护,确保通信的安全性和隐私。2、防止数据泄露:加密软件可以防止用户的个人信息和敏感数据泄露,保障用户的隐私安全。3、网络安全防护:加密软件可以监...

    2023-08-25 00:00:00

大家都在搜的词:

微信扫一扫联系售前工程师