CVE-2020-13844 | ARM CPU SLS漏洞通告

发布时间 2020-06-17

0x00 漏洞概述


CVE   ID

CVE-2020-13844

   

2020-06-17

   

   

中危

远程利用

影响范围

Arm Armv8-A


0x01 漏洞详情




2020年6月,Google的SafeSide小组在ARM处理器的Armv8-A(Cortex-A)CPU体系结构中发现了一个名为“Straight-Line Speculation ,SLS”的新漏洞(CVE-2020-13844)。该漏洞导致攻击者对ARM架构处理器进行侧信道攻击。

SLS是侧信道攻击里比较经典的一种,可以让处理器预先访问数据来提升性能,然后抛弃所有没被使用过的计算分支。诸如此类的侧通道攻击可以让攻击者能够从处理器窃取数据。

ARM确认SLS是原始Spectre漏洞的一种变体,Spectre漏洞发现于2018年1月,该漏洞导致攻击者可以窃取计算机内存中的信息,涉及存储在密码管理器或浏览器中的密码、个人照片、电子邮件、即时消息、甚至是关键业务文档。SLS和Spectre漏洞的影响范围不同,SLS仅影响Arm Armv-A处理器,而Spectre影响所有主流芯片制造商的CPU。

到目前为止,该漏洞还没有在野利用。但考虑到ARM处理器的应用范围非常之广,涉及智能手机、平板电脑甚至单片机等,所以该漏洞的影响范围比较大。


0x02 处置建议


目前厂商已发布升级补丁,包括FreeBSD,OpenBSD,Trusted Firmware-A和OP-TEE。补丁链接:

https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability/latest-updates

其他临时措施:

ARM在其白皮书中提供了缓解措施,下载链接:

https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability/downloads/arm-v8-5-a-cpu-updates


0x03 相关新闻


https://cyware.com/news/arm-cpus-face-threats-from-new-variant-of-spectre-vulnerability-44250570/?web_view=true


0x04 参考链接


https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability/downloads

https://spectreattack.com/#faq-systems-spectre


0x05 时间线


2020-06-08 ARM更新漏洞补丁

2020-06-17 VSRC发布漏洞通告