CVE-2020-13844 | ARM CPU SLS漏洞通告
发布时间 2020-06-170x00 漏洞概述
|
CVE ID |
CVE-2020-13844 |
时 间 |
2020-06-17 |
|
类 型 |
|
等 级 |
中危 |
|
远程利用 |
否 |
影响范围 |
Arm Armv8-A |
0x01 漏洞详情
2020年6月,Google的SafeSide小组在ARM处理器的Armv8-A(Cortex-A)CPU体系结构中发现了一个名为“Straight-Line Speculation ,SLS”的新漏洞(CVE-2020-13844)。该漏洞导致攻击者对ARM架构处理器进行侧信道攻击。
SLS是侧信道攻击里比较经典的一种,可以让处理器预先访问数据来提升性能,然后抛弃所有没被使用过的计算分支。诸如此类的侧通道攻击可以让攻击者能够从处理器窃取数据。
ARM确认SLS是原始Spectre漏洞的一种变体,Spectre漏洞发现于2018年1月,该漏洞导致攻击者可以窃取计算机内存中的信息,涉及存储在密码管理器或浏览器中的密码、个人照片、电子邮件、即时消息、甚至是关键业务文档。SLS和Spectre漏洞的影响范围不同,SLS仅影响Arm Armv-A处理器,而Spectre影响所有主流芯片制造商的CPU。
到目前为止,该漏洞还没有在野利用。但考虑到ARM处理器的应用范围非常之广,涉及智能手机、平板电脑甚至单片机等,所以该漏洞的影响范围比较大。
0x02 处置建议
目前厂商已发布升级补丁,包括FreeBSD,OpenBSD,Trusted Firmware-A和OP-TEE。补丁链接:
https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability/latest-updates
其他临时措施:
ARM在其白皮书中提供了缓解措施,下载链接:
https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability/downloads/arm-v8-5-a-cpu-updates
0x03 相关新闻
https://cyware.com/news/arm-cpus-face-threats-from-new-variant-of-spectre-vulnerability-44250570/?web_view=true
0x04 参考链接
https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability/downloads
https://spectreattack.com/#faq-systems-spectre
0x05 时间线
2020-06-08 ARM更新漏洞补丁
2020-06-17 VSRC发布漏洞通告
京公网安备11010802024551号