首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-13844 | ARM CPU SLS漏洞通告

發布時間 2020-06-17

0x00 漏洞概述


CVE   ID

CVE-2020-13844

   

2020-06-17

   

   

中危

遠程利用

影響范圍

Arm Armv8-A


0x01 漏洞詳情




2020年6月,Google的SafeSide小組在ARM處理器的Armv8-A(Cortex-A)CPU體系結構中發現了一個名為“Straight-Line Speculation ,SLS”的新漏洞(CVE-2020-13844)。該漏洞導致攻擊者對ARM架構處理器進行側信道攻擊。

SLS是側信道攻擊里比較經典的一種,可以讓處理器預先訪問數據來提升性能,然后拋棄所有沒被使用過的計算分支。諸如此類的側通道攻擊可以讓攻擊者能夠從處理器竊取數據。

ARM確認SLS是原始Spectre漏洞的一種變體,Spectre漏洞發現于2018年1月,該漏洞導致攻擊者可以竊取計算機內存中的信息,涉及存儲在密碼管理器或瀏覽器中的密碼、個人照片、電子郵件、即時消息、甚至是關鍵業務文檔。SLS和Spectre漏洞的影響范圍不同,SLS僅影響Arm Armv-A處理器,而Spectre影響所有主流芯片制造商的CPU。

到目前為止,該漏洞還沒有在野利用。但考慮到ARM處理器的應用范圍非常之廣,涉及智能手機、平板電腦甚至單片機等,所以該漏洞的影響范圍比較大。


0x02 處置建議


目前廠商已發布升級補丁,包括FreeBSD,OpenBSD,Trusted Firmware-A和OP-TEE。補丁鏈接:

https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability/latest-updates

其他臨時措施:

ARM在其白皮書中提供了緩解措施,下載鏈接:

https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability/downloads/arm-v8-5-a-cpu-updates


0x03 相關新聞


https://cyware.com/news/arm-cpus-face-threats-from-new-variant-of-spectre-vulnerability-44250570/?web_view=true


0x04 參考鏈接


https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability/downloads

https://spectreattack.com/#faq-systems-spectre


0x05 時間線


2020-06-08 ARM更新漏洞補丁

2020-06-17 VSRC發布漏洞通告




上一篇 下一篇