奧地利格拉茨科技大學(Graz University of Technology)的研究團隊,近日發現各廠牌推出的中央處理器(Central Processing Unit, CPU)中,存有一個共同的漏洞「Collide+Power」,可讓駭侵者以特殊方式竊得 CPU 內傳輸的資料。
根據格拉茨科技大學團隊的報告指出,該漏洞的實作方式,是駭侵者可藉由駭侵者對CPU 發出的資料集,在 CPU 中與其他應用程式送出的資料發生「對撞」(collision)時,改寫先前存在 CPU 快取記憶體中儲存的資料時,來測量 CPU 的耗電量變化,因而取得某些機敏資訊。
研究人員指出,受此 Collide+Power 漏洞影響的 CPU 款式可能十分廣泛,包括 Intel、AMD 或基於 ARM 架構設計的 CPU 都可能含此漏洞;雖然目前無法一一確認實際含有該漏洞的 CPU 型號有哪些,但研究人員假設所有型式的 CPU 都含有此漏洞。
該漏洞也已經提報為 CVE-2023-20583,但其 CVSS 危險程度評分僅有 4.7 分(滿分為 10 分),危險程度並不高;對此研究人員指出主要是因為 Collide+Power 攻擊取得的資料精確度並不高,而且必須以繁雜的方式進行實體接線,並進行複雜的計算分析,才能測量到 CPU 耗電量的變化,因此包括研究人員與 AMD 公司,都認為終端用戶不太容易受到駭侵者以此方式進行攻擊。
研究人員也表示,當代 CPU 的設計中,不容易避免資料碰撞的問題發生;即使發現 Collide+Power 理論上可使用資料碰撞問題來竊取資料,但因此而大幅修改 CPU 的設計方式是不切實際的;比較合理的方式是阻止駭侵者有機會接觸電腦設備,以測量 CPU 的用電量變化才對。
- CVE 編號:CVE-2023-20583
- 影響產品:各廠牌 CPU 都可能有此問題,但攻擊實作困難,一般用戶無需擔憂。
- 解決方案:建議妥善管制重要設備的存取權限,避免駭侵者有機會接觸電腦實體,並裝設測量設備。
- 參考連結
Collide+Power
Software based Power Side Channel on AMD CPUs
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7006.html
留言列表