最新桌上型電腦文章

Image credit:

AMD 過去九年推出的處理器都有漏露資料的風險(更新:AMD 回應)

安全專家在數個月前就將這個名為「Take A Way」的漏洞告知 AMD,但 AMD 一直沒有動作。

Andy Yang
2020 年 3 月 9 日, 傍晚 08:00
分享次數
分享
分享
Twitter 發表
line
電郵
儲存


今天不是只有 Intel 的晶片被發現有安全性問題,死對頭 AMD 也不能幸免。格拉茲科技大學的研究專家們發現了一對「旁路攻擊」的漏洞,並將其命名為「Take A Way」。這個漏洞利用了 Level 1 快取的預測機制來設法取得記憶體內容,由 2011 年的 Athlon 64 X2 至今的 Threadripper 晶片皆受影響。 當中 Collide+Probe 攻擊讓惡意人士不用知道記憶體位置就能查看其存取;而 Load+Reload 則是個較為隱秘,使用共享記憶體的方法。

研究專家們已經透過簡單的 JavaScript 和雲端虛擬機器示範了利用漏洞的可行性,雖然說由漏洞洩漏的資訊非常少,但還是足以讓專家們取得 AES 密鑰。專家指出,這個漏洞應當可以透過硬體、軟體等方式進行補救,但並不清楚影響性能的程度有多大。據稱,專家們早去年八月底就已經將他們的發現告知 AMD,但 AMD 這段時間沒既沒有回應,也沒有進行補強的動作,因此他們只好將其公諸於世,希望喚起大家的注意。

有點妙的是,這個研究團隊有收取來自 Intel 的資金,讓人對他們的研究結果與目的多少帶有一些疑慮。但雖然說是有獲得 Intel 的補助,該團隊的研究內容倒是沒有特別偏向一方,同樣也有發現 Intel 這邊的漏洞,因此應該真的只是補助而已,沒有特別的目的囉。無論如何,AMD 的漏洞是確實的,就看 AMD 要怎麼來因應了。

更新:對於 Take A Way 漏洞,AMD 在安全性公告中表示他們不認為這是個新的攻擊方式,而是重複利用了已知且已填補的漏洞而已。

我們知道一份新的白皮書聲稱 AMD CPU中有潛在的安全漏洞,惡意攻擊者可以利用該漏洞操縱與快取相關的功能,以非正常方式傳輸用戶數據。研究人員將此數據路徑與之前已知且已經採取被緩解的軟體或預測執行旁路漏洞連繫在一起,AMD相信這些並非新型可疑攻擊。

AMD繼續建議下列最佳方法以幫助解決旁路問題:
  • 透過更新系統軟體及韌體以確保作業系統是最新版本,當中包含已經針對預測執行安全漏洞的解決措施
  • 遵行安全編程方法
  • 使用關鍵函式庫的最新修補版本,包括容易受到旁路攻擊的部分
  • 安全操作電腦,並且安裝執行防毒軟體