Intel 处理器硬件“VoltJockey”(骑士)漏洞风险通告
发布时间 2019-12-11漏洞编号和级别
CVE编号:CVE-2019-11157,危险级别:高危,CVSS分值:厂商自评:7.9,官方未评定
影响版本
Intel Core 第6、7、8、9和第10代处理器
Intel Xeon 处理器E3 v5和v6
Intel Xeon 处理器E-2100 和 E-2200
漏洞概述
2019年12月10日,Intel官方正式确认并发布了“VoltJockey”(骑士)漏洞公告。该漏洞是由于现代主流处理器微体系架构设计时采用的动态电源管理模块DVFS(Dynamic Voltage and Frequency Scaling)存在安全隐患造成的,存在提权和信息泄露的风险。
VoltJockey漏洞基于电压故障注入对CPU进行攻击,利用硬件故障对CPU的硬件隔离设施(如TrustZone)进行攻击。不同于传统采用编程接口漏洞的攻击方式,该方法完全采用CPU的硬件漏洞,防御起来相对困难,且对于类似TrustZone的其它CPU的硬件安全扩展也有类似效果。目前VoltJockey漏洞广泛存在于主流处理器芯片中,可能涉及当前大量使用的手机支付、人脸/指纹识别、安全云计算等高价值密度应用的安全,影响面广。
另外该安全漏洞仅当在Intel SGX(Software Guard Extensions)开启时才存在。Intel已经向系统制造商发布了固件更新,以缓解这一潜在的漏洞。
漏洞验证
暂无POC/EXP。
修复建议
Intel建议受影响的用户与系统制造商联系,以获取可缓解此问题的最新BIOS。
参考链接
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00289.html
京公网安备11010802024551号