Bitdefender以及來自世界各地大學的研究人員公布了Intel處理器中的一個名為LVI(Load Value Injection)的新安全漏洞。
這個漏洞可以允許一種全新的理論性攻擊,目前除了上述兩個研究人員團隊外並沒有黑客以此攻擊的紀錄。雖然這個威脅只是理論上的,不過Intel已經發布了一個固件更新來減輕對目前處理器的潛在攻擊,並且已經計劃在將來的處理器中進行硬體級別的修復。
2018年發現的Meltdown漏洞容許攻擊者在一個應用程式處於過渡階段(trasient state)時從處理器記憶體中讀取其數據,而LVI則是更上一層樓,容許攻擊者直接將代碼注入處理器內並以臨時操作執行,給予攻擊者更多的控制權。 兩個研究小組都是靠自己發現的LVI攻擊,不過兩者都已經成功證明了LVI攻擊可能產生的廣泛影響。來自大學的學術研究團隊專注於從Intel SGX enclave安全區域泄漏數據的可能性,而Bitdefender則致力於證明攻擊對於雲端這一塊會有甚麼影響。
雖然目前只有Intel確定會被LIV攻擊所影響,但是研究人員並不排除AMD以及ARM處理器都會受影響的可能性。
這種LVI攻擊要求在計算機上運行惡意代碼,因此攻擊者需要一個本地的接觸或者透過釣魚網站來讓Java腳本實行攻擊,不過研究人員最後也表示,LVI攻擊對於一般攻擊者而言較難實現。
來源:超能網
