Падение (уязвимость безопасности)

Падение
Идентификатор(ы) CVE	CVE- 2022-40982
Затронутое оборудование	6–11-го поколения Intel Core Процессоры
Веб-сайт	https://downfall.page/

Downfall , известный как Gather Data Sampling ( GDS ) от Intel, ^[1] — это уязвимость компьютерной безопасности , обнаруженная в с 6 по 11 потребительских микропроцессорах Xeon Intel x86-64 поколения и с 1 по 4 поколения . ^[2] Это уязвимость ЦП, связанная с временным выполнением , которая основана на спекулятивном выполнении инструкций Advanced Vector Extensions (AVX) для раскрытия содержимого векторных регистров . ^[3]^[4]

Уязвимость

Подсистема безопасности Intel Software Guard Extensions (SGX) также подвержена этой ошибке. ^[4]

Уязвимость Downfall была обнаружена исследователем безопасности Дэниелом Могими , который публично обнародовал информацию об уязвимости в августе 2023 года, после годичного периода эмбарго. ^[5]^[6]

Intel пообещала обновить микрокод для устранения уязвимости. ^[1] Было показано, что исправления микрокода значительно снижают производительность некоторых сильно векторизованных загрузок. ^[7]

Патчи для смягчения последствий уязвимости также были созданы в рамках предстоящего выпуска ядра Linux версии 6.5 . ^[8] Они включают код для полного отключения расширений AVX на процессорах, для которых защита от микрокода недоступна. ^[9]

Ответы поставщиков

Ссылки

^ Jump up to: ^а ^б «Выборка данных / CVE-2022-40982 / INTEL-SA-00828» . Интел . Проверено 8 августа 2023 г.
^ «Затронутые процессоры: временные атаки на выполнение и связанная с ними безопасность…» Intel . Проверено 16 августа 2023 г.
^ Ньюман, Лили Хэй. «Новый недостаток «падения» раскрывает ценные данные в поколениях чипов Intel» . Проводной . ISSN 1059-1028 . Проверено 8 августа 2023 г.
^ Jump up to: ^а ^б Илашку, Ионут (8 августа 2023 г.). «Новые атаки Downfall на процессоры Intel крадут ключи шифрования и данные» . Мигающий компьютер . Проверено 8 августа 2023 г.
^ Райт, Роб (8 августа 2023 г.). «Google раскрывает атаки «Downfall» и уязвимости в чипах Intel» . Безопасность . Проверено 8 августа 2023 г.
^ Ларабель, Майкл (8 августа 2023 г.). «Intel DOWNFALL: новая уязвимость, влияющая на AVX2/AVX-512 и имеющая серьезные последствия для производительности» . www.phoronix.com . Проверено 8 августа 2023 г.
^ Лю, Чжие (10 августа 2023 г.). «Испытания Intel по смягчению последствий падения снижают производительность до 39%» . Аппаратное обеспечение Тома . Проверено 11 августа 2023 г.
^ Ларабель, Майкл (8 августа 2023 г.). «Объединены патчи Linux 6.5 для Intel GDS/DOWNFALL и AMD НАЧАЛО» . www.phoronix.com . Проверено 9 августа 2023 г.
^ Корбет, Джонатан (8 августа 2023 г.). «Очередной раунд уязвимостей спекулятивного исполнения» . lwn.net . Проверено 11 августа 2023 г.
^ «CVE-2022-40982 — Сбор выборки данных — падение» . Amazon Веб-сервисы, Inc. 08.08.2023.
^ «Бюллетень по безопасности Citrix Hypervisor для CVE-2023-20569, CVE-2023-34319 и CVE-2022-40982» . support.citrix.com .
^ «DSA-2023-180: Обновление безопасности для обновления продукта Intel 2023.3, рекомендации | Dell США» . www.dell.com .
^ «CVE-2022-40982» . Security-Tracker.debian.org .
^ «Бюллетени безопасности | Служба поддержки клиентов» . Гугл облако .
^ «Intel 2023.3 IPU — обновления безопасности BIOS, август 2023 г. | Служба поддержки клиентов HP®» .
^ «ИНТЕЛ-SA-00828» . Интел . 08.08.2023.
^ «Уязвимости безопасности BIOS от разных производителей (август 2023 г.) — Lenovo Support US» . support.lenovo.com .
^ «KB5029778: Как управлять уязвимостью, связанной с CVE-2022-40982 — Служба поддержки Microsoft» . support.microsoft.com . Проверено 6 сентября 2023 г.
^ «QSB-093: Уязвимости временного выполнения в процессорах AMD и Intel (CVE-2023-20569/XSA-434, CVE-2022-40982/XSA-435)» . Форум ОС Qubes . 9 августа 2023 г.
^ "cve-детали" . access.redhat.com .
^ «Обновление платформы Intel (IPU) 2023.3, август 2023 г. | Supermicro» . www.supermicro.com .
^ «CVE-2022-40982» . Убунту .
^ «Реакция VMware на сбор выборки данных (GDS) — уязвимость побочного канала временного выполнения, влияющая на процессоры Intel (CVE-2022-40982)» . 8 августа 2023 г.
^ «oss-sec: рекомендации по безопасности Xen 435 v1 (CVE-2022-40982) — x86/Intel: сбор выборки данных» . сайт seclists.org .

Внешние ссылки

[Intel-1] Jump up to: ^а ^б «Выборка данных / CVE-2022-40982 / INTEL-SA-00828» . Интел . Проверено 8 августа 2023 г.

[2] «Затронутые процессоры: временные атаки на выполнение и связанная с ними безопасность…» Intel . Проверено 16 августа 2023 г.

[3] Ньюман, Лили Хэй. «Новый недостаток «падения» раскрывает ценные данные в поколениях чипов Intel» . Проводной . ISSN 1059-1028 . Проверено 8 августа 2023 г.

[bleeping-4] Jump up to: ^а ^б Илашку, Ионут (8 августа 2023 г.). «Новые атаки Downfall на процессоры Intel крадут ключи шифрования и данные» . Мигающий компьютер . Проверено 8 августа 2023 г.

[5] Райт, Роб (8 августа 2023 г.). «Google раскрывает атаки «Downfall» и уязвимости в чипах Intel» . Безопасность . Проверено 8 августа 2023 г.

[6] Ларабель, Майкл (8 августа 2023 г.). «Intel DOWNFALL: новая уязвимость, влияющая на AVX2/AVX-512 и имеющая серьезные последствия для производительности» . www.phoronix.com . Проверено 8 августа 2023 г.

[7] Лю, Чжие (10 августа 2023 г.). «Испытания Intel по смягчению последствий падения снижают производительность до 39%» . Аппаратное обеспечение Тома . Проверено 11 августа 2023 г.

[8] Ларабель, Майкл (8 августа 2023 г.). «Объединены патчи Linux 6.5 для Intel GDS/DOWNFALL и AMD НАЧАЛО» . www.phoronix.com . Проверено 9 августа 2023 г.

[9] Корбет, Джонатан (8 августа 2023 г.). «Очередной раунд уязвимостей спекулятивного исполнения» . lwn.net . Проверено 11 августа 2023 г.

[10] «CVE-2022-40982 — Сбор выборки данных — падение» . Amazon Веб-сервисы, Inc. 08.08.2023.

[11] «Бюллетень по безопасности Citrix Hypervisor для CVE-2023-20569, CVE-2023-34319 и CVE-2022-40982» . support.citrix.com .

[12] «DSA-2023-180: Обновление безопасности для обновления продукта Intel 2023.3, рекомендации | Dell США» . www.dell.com .

[13] «CVE-2022-40982» . Security-Tracker.debian.org .

[14] «Бюллетени безопасности | Служба поддержки клиентов» . Гугл облако .

[15] «Intel 2023.3 IPU — обновления безопасности BIOS, август 2023 г. | Служба поддержки клиентов HP®» .

[16] «ИНТЕЛ-SA-00828» . Интел . 08.08.2023.

[17] «Уязвимости безопасности BIOS от разных производителей (август 2023 г.) — Lenovo Support US» . support.lenovo.com .

[18] «KB5029778: Как управлять уязвимостью, связанной с CVE-2022-40982 — Служба поддержки Microsoft» . support.microsoft.com . Проверено 6 сентября 2023 г.

[19] «QSB-093: Уязвимости временного выполнения в процессорах AMD и Intel (CVE-2023-20569/XSA-434, CVE-2022-40982/XSA-435)» . Форум ОС Qubes . 9 августа 2023 г.

[20] "cve-детали" . access.redhat.com .

[21] «Обновление платформы Intel (IPU) 2023.3, август 2023 г. | Supermicro» . www.supermicro.com .

[22] «CVE-2022-40982» . Убунту .

[23] «Реакция VMware на сбор выборки данных (GDS) — уязвимость побочного канала временного выполнения, влияющая на процессоры Intel (CVE-2022-40982)» . 8 августа 2023 г.

[24] «oss-sec: рекомендации по безопасности Xen 435 v1 (CVE-2022-40982) — x86/Intel: сбор выборки данных» . сайт seclists.org .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]