Downfall: κενά ασφαλείας στα CPU 7ης, 8ης, 9ης, 10ης και 11ης γενιάς της Intel

Η και η Microsoft επιβεβαίωσαν ότι σχεδόν όλοι οι επεξεργαστές της Intel, πριν από τα CPU της 12ης γενιάς, είναι ευάλωτοι σε μια νέα side-channel επίθεση στο Transient ή Speculative execution που ονομάζεται ευπάθεια Gather Data Sampling (GDS) με την κωδική ονομασία “Downfall”.

Το νέο ελάττωμα GDS, που ονομάζεται “Downfall”, παρακολουθείται στο CVE-2022-40982.intel

Η Intel λέει ότι τα τσιπ της 12ης γενιάς αλλά και τα νεότερα, όπως το Alder Lake και το Lake, συνοδεύονται από το Trust Domain eXtension ή TDX της Intel, το οποίο απομονώνει τις εικονικές μηχανές (VM) από τους διαχειριστές εικονικών μηχανών (VMM) ή τα hypervisors, απομονώνοντάς τις επομένως από το υπόλοιπο και το σύστημα.

Αυτές οι εικονικές μηχανές που απομονώνονται είναι ουσιαστικά αυτό που ονομάζεται “Trust Domains” και εξ ου και το όνομα.

Στο έγγραφο υποστήριξης KB5029778, η Microsoft αναφέρει:

Η Microsoft γνωρίζει για μια νέα επίθεση που ονομάζεται συλλογή δεδομένων δειγματοληψίας (GDS) ή “Downfall”. Αυτή η ευπάθεια θα μπορούσε να χρησιμοποιηθεί για την εξαγωγή δεδομένων από τις επηρεαζόμενες CPU πέρα από τα όρια ασφαλείας, όπως από τον user-kernel, τις διεργασίες, τις εικονικές μηχανές (VM) και τα trusted execution environments.

Η Intel δίνει περισσότερες λεπτομέρειες για το Downfall ή το GDS στον ιστότοπό της εξηγώντας πώς οι επιτιθέμενοι μπορούν να εκμεταλλευτούν παλαιότερα δεδομένα στους επεξεργαστές 7th Gen (Kaby Lake), 8th Gen (Coffee Lake), 9th Gen (Coffee Lake refresh), 10th Gen () και 11th Gen (Rocket Lake σε desktop ή Tiger Lake σε κινητά).

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).