В процессорах Intel обнаружена очередная фундаментальная уязвимость — Zombieload v2. Новые чипы Cascade Lake ей тоже подвержены

В процессорах Intel, и без того славящихся уязвимостями на уровне архитектуры, нашлась новая брешь, которая есть во всех моделях, выпущенных с момента появления архитектуры Haswell в 2013 году. То есть, самые новые процессоры семейства Intel Cascade Lake тоже подвержены проблеме.

Уязвимость называется Zombieload v2 (CVE-2019-11135). Это уже пятый тип, связанный с микроархитектурной выборкой данных (MDS). Четыре предыдущие уязвимости класса MDS — Fallout, RIDL (Rogue In-Flight Data Load), Store-to-Leak Forwarding и Zombieload v1 — были обнаружены во втором квартале этого года.

Атаки нового типа Zombieload v2 используют асинхронное прерывание в расширениях синхронизации транзакций (TSX), которое возникает, когда вредоносная программа создает конфликты операций чтения внутри CPU. В итоге это приводит к утечке обрабатываемых в этот момент процессором данных.

«Основным преимуществом этого подхода является то, что он также работает на машинах с аппаратными исправлениями для Meltdown, которые мы проверили на i9-9900K и Xeon Gold 5218», — говорится в соответствующем заявлении исследователей, обнаруживших уязвимость.

Что примечательно, процессоры семейства Cascade Lake получили новые защитные механизмы от атак Zombieload v1 на аппаратном уровне, но, как видим, этого оказалось недостаточно.

Intel уже выпустила набор исправлений микрокода в рамках ежемесячного обновления Intel Platform Update. В соответствующем пресс-релизе Intel говорит о 77 уязвимостях, десять из которых обнаружили сторонние исследователи, а остальные — сотрудники Intel.

Процессоры AMD по своей природе невосприимчивы к «Zombieload v2», поскольку в них отсутствует TSX. Intel заверяет, что Zombieload v2 не несет серьезной угрозы, но при этом разосланные партнерам обновления микрокодов помечены как «критические».

Как и в случае с предыдущими уязвимостями, программные исправления замедляют ПК, на сей раз — на величину до 5%. На сайте Phoronix можно ознакомиться с подробными тестами влияния заплаток на производительность в среде Linux.

Источник: ITC.ua



Самые актуальные новости - в Telegram-канале

Читайте также

Вверх