Hertzbleedはの新しいファミリーです サイドチャネル攻撃 情報開示を可能にする可能性のある周波数サイドチャネルに関連付けられている. この問題は、テキサス大学の研究者グループによって発見され、詳細に説明されました。, ワシントン大学, およびイリノイ大学アーバナシャンペーン校.
すなわち, 攻撃者は、動的な電圧と周波数のスケーリングによって可能になるCPU周波数の変動を観察することにより、暗号化キーを盗むことができる可能性があります, 略してDVFSとして知られています. この脆弱性は、最新のIntelおよびAMDx86プロセッサに影響します.
ヘルツブリード: CVE-2022-24436およびCVE-2022-23823
IntelプロセッサのCVE-2022-24436は、一部のIntelの電力管理スロットリングで観察可能な動作として説明されています(R) 認証されたユーザーがネットワークアクセスを介した情報開示を可能にする可能性のあるプロセッサ.
CVE-2022-23823は、周波数スケーリングを使用してトリガーされる可能性のある一部のAMDプロセッサの潜在的な脆弱性です. これにより、認証された攻撃者がタイミング攻撃を実行して、情報開示を可能にする可能性があります.
研究者によると, 影響を受けるプロセッサの数は非常に多い. Intelのセキュリティアドバイザリによると, HertzbleedはすべてのIntelプロセッサに影響します. 「いくつかのIntelプロセッサが影響を受けることを実験的に確認しました, 第8世代から第11世代のCoreマイクロアーキテクチャーのデスクトップおよびラップトップモデルを含む,」チームは述べた.
AMDのデスクトップのいくつか, モバイルおよびサーバープロセッサが影響を受けます. 研究者は実験を通じてAMDRyzenプロセッサが影響を受けることを確認しました, Zenのデスクトップモデルとラップトップモデルを含む 2 と禅 3 マイクロアーキテクチャ.
"初め, Hertzbleedは、最新のx86CPUでそれを示しています, パワーサイドチャネル攻撃は、 (リモートでも!) タイミング攻撃—電力測定インターフェースの必要性を高めます. 原因はそれです, 特定の状況下で, 定期的なCPU周波数調整は、現在のCPU消費電力に依存します, これらの調整は、実行時間の違いに直接変換されます (なので 1 ヘルツ= 1 1秒あたりのサイクル).
2番, Hertzbleedはそれを示しています, 一定時間として正しく実装されている場合でも, 暗号化コードは、リモートタイミング分析を介してリークする可能性があります. その結果、定数時間コードの記述方法に関する現在の業界ガイドラインが作成されます。 (Intelのものなど) 最新のプロセッサでの一定時間の実行を保証するには不十分です,」研究者は言った.
Hertzbleedの論文は、第31回USENIXセキュリティシンポジウムで発表されることに注意してください。 (ボストン, 10–8月12日 2022). 幸運, 詳細に興味がある場合, あなたはダウンロードすることができます プレプリント.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: