首頁 > 安全研究 > 安全通報 > 安全通告

Intel 處理器硬件“VoltJockey”(騎士)漏洞風險通告

發布時間 2019-12-11

漏洞編號和級別


CVE編號:CVE-2019-11157,危險級別:高危,CVSS分值:廠商自評:7.9,官方未評定


影響版本


Intel Core 第6、7、8、9和第10代處理器

Intel Xeon 處理器E3 v5和v6

Intel Xeon 處理器E-2100 和 E-2200


漏洞概述


2019年12月10日,Intel官方正式確認并發布了“VoltJockey”(騎士)漏洞公告。該漏洞是由于現代主流處理器微體系架構設計時采用的動態電源管理模塊DVFS(Dynamic Voltage and Frequency Scaling)存在安全隱患造成的,存在提權和信息泄露的風險。


VoltJockey漏洞基于電壓故障注入對CPU進行攻擊,利用硬件故障對CPU的硬件隔離設施(如TrustZone)進行攻擊。不同于傳統采用編程接口漏洞的攻擊方式,該方法完全采用CPU的硬件漏洞,防御起來相對困難,且對于類似TrustZone的其它CPU的硬件安全擴展也有類似效果。目前VoltJockey漏洞廣泛存在于主流處理器芯片中,可能涉及當前大量使用的手機支付、人臉/指紋識別、安全云計算等高價值密度應用的安全,影響面廣。


另外該安全漏洞僅當在Intel SGX(Software Guard Extensions)開啟時才存在。Intel已經向系統制造商發布了固件更新,以緩解這一潛在的漏洞。


漏洞驗證


暫無POC/EXP。


修復建議


Intel建議受影響的用戶與系統制造商聯系,以獲取可緩解此問題的最新BIOS。


參考鏈接


https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00289.html



上一篇 下一篇