Издание The Record сообщает, что за последние месяцы были опубликованы сразу два доклада, в которых подробно описываются новые ата­ки по сто­рон­нему каналу (side-channel) на процессоры AMD. Атаки очень похожи на проблему Meltdown, обнаруженную в начале 2018 года, но ранее считалось, что процессоры AMD невосприимчивы к этому багу.

Напомню, что суть атаки Meltdown заключалась в том, что вредоносные приложения могут злоупотреблять упреждающим (или спекулятивным — speculative) механизмом исполнения команд ЦП, чтобы преодолеть барьер, отделяющий приложения от ядра операционной системы. В итоге вредоносное приложение получало возможность похитить конфиденциальную информацию из ядра, включая пароли, ключи шифрования и пользовательские данные, к которым оно обычно не могло иметь доступа.

Исходно специалисты, обнаружившие проблему Meltdown, объясняли, что эта атака работает только против процессоров Intel, а AMD использует другой механизм для спекулятивных вычислений, который неуязвим для этого бага.

Однако теперь ученые из Дрезденского технического университета заявили, что спустя более трех лет они все же нашли способ атаковать процессоры AMD с помощью «метода Meltdown». И хотя в своем докладе эксперты пишут только об уязвимости процессоров линейки Zen, вскоре инженеры AMD сообщили, что перед такими атаками уязвим все процессоры компании.

К сожалению, только этим дело не ограничилось: в этом месяце была опубликована вторая статья, в которой описан еще один метод запуска атак типа Meltdown на процессорах AMD. Авторы этой публикации, обнаружившие оригинальную атаку Meltdown в 2018 году, пишут, что второй метод атак эксплуатирует инструкции x86 PREFETCH и точно также допускает утечку информации об адресном пространстве ядра. Увы, на этой неделе в AMD подтвердили, что выводы экспертов верны и пред этой проблемой так же уязвимы все процессоры компании.

Пока никаких патчей для этих багов, которые отслеживаются под идентификаторами CVE-2020-12965 и CVE-2021-26318, выпущено не было. AMD лишь просит разработчиков помнить о методологиях secure coding, так же как делала компания Intel в 2018 году.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии