发布时间:2019-12-16 17:08:46,来源:中国信息通信研究院
Intel 存在处理器硬件漏洞,CVE编号:CVE-2019-11157。攻击者成功利用此漏洞,可造成权限提升和信息泄露风险。
近日,Intel官方正式确认并发布了“VoltJockey”(骑士)漏洞公告,漏洞编号为:CVE-2019-11157。该漏洞是由于现代主流处理器微体系架构设计时采用的动态电源管理模块DVFS(Dynamic Voltage and Frequency Scaling)存在安全隐患造成的,存在提权和信息泄露的风险。
VoltJockey漏洞基于电压故障注入对CPU进行攻击,利用硬件故障对CPU的硬件隔离设施(如TrustZone)进行攻击。不同于传统采用编程接口漏洞的攻击方式,该方法完全采用CPU的硬件漏洞,防御起来相对困难,且对于类似TrustZone的其它CPU的硬件安全扩展也有类似效果。目前VoltJockey漏洞广泛存在于主流处理器芯片中,可能涉及当前大量使用的手机支付、人脸/指纹识别、安全云计算等高价值密度应用的安全,影响面广。另外该安全漏洞仅当在Intel SGX(Software Guard Extensions)开启时才存在。
受影响版本:
Intel Core 第6、7、8、9和第10代处理器
Intel Xeon 处理器E3 v5和v6
Intel Xeon 处理器E-2100 和 E-2200
目前英特尔官方已发布安全补丁,请用户及时更新:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00289.html
1) https://www.bleepingcomputer.com/news/security/intel-patches-plundervolt-high-severity-issues-in-platform-update/