Intel và AMD vẫn chưa giảm thiểu hoàn toàn các lỗ hổng như Spectre và Meltdown. Những lỗ hổng này cho phép hacker tấn công có được thông tin. CPU Intel 10th đến 12th được báo cáo là ảnh hưởng bởi ÆPIC. Bên kia chuyến tuyến, SQUIP là một lỗ hổng ảnh hưởng đến toàn bộ CPU AMD với SMT.
APIC: Lỗ hổng ảnh hưởng đến CPU Intel 10th – 12th
Các nhà nghiên cứu từ Đại học Sapienza của Rome, Đại học Công nghệ Graz, Trung tâm Bảo mật Thông tin CISPA Helmholtz và Amazon Web Services đã mô tả một lỗ hổng (CVE-2022-21233) ảnh hưởng đến cache của Bộ điều khiển lập trình nâng cao (APIC) trong CPU Intel. APIC giúp đa xử lý hiệu quả bằng cách xử lý các yêu cầu gián đoạn.
Được đặt tên là ÆPIC, các nhà nghiên cứu nói rằng lỗ hổng này là “lỗi CPU kiến trúc làm rò rỉ dữ liệu cũ từ kiến trúc vi mô mà không cần sử dụng chanel phụ”. Tờ báo này tiết lộ lỗi này ảnh hưởng đến các mẫu CPU bao gồm Ice Lake, Ice Lake-SP, Tiger Lake và Alder Lake.
Intel đã cung cấp danh sách các bộ xử lý bị ảnh hưởng trên trang web Hướng dẫn Bảo mật Phần mềm của mình và đã phân loại mức độ đe dọa là “Trung bình”.
Theo các chuyên gia, ÆPIC yêu cầu quyền truy cập nâng cao vào các thanh ghi APIC vật lý thông qua trang I/O (MMIO) cache, có nghĩa là cần có quản trị viên hoặc quyền truy cập root. ÆPIC chủ yếu ảnh hưởng đến các ứng dụng dựa trên Intel Software Guard Extensions (SGX), là một công nghệ cách ly ứng dụng bảo vệ mã hóa trong các vùng cứng.
Các bản sửa lỗi thường được triển khai cho các lỗ hổng kênh bên là không hiệu quả đối với ÆPIC. Đây là một lỗi kiến trúc CPU có thể được khắc phục bằng cách sử dụng các biện pháp phần mềm, nhưng các nhà nghiên cứu lưu ý rằng điều này có thể có tác động đến hiệu suất.
Intel đã phát hành bản cập nhật vi mã và SDK SGX như là giải pháp thay thế.
Toàn bộ gia đình AMD Zen bị ảnh hưởng bởi SQUIP
Mọi thứ cũng không hoàn toàn màu hồng ở phía AMD. Trong một bài báo, các nhà nghiên cứu từ Lamarr Security Research, Graz University of Technology và Georgia Institute of Technology mô tả cái mà họ gọi là SQUIP, viết tắt của Scheduler Queue Usage via Interference Probing.
SQUIP (AMD-SB-1039, CVE-2021-46778) là một cuộc tấn công kênh phụ ảnh hưởng đến hàng chờ lênh.
SQUIP không ảnh hưởng đến bộ xử lý Intel vì chúng sử dụng một hàng đợi lệnh duy nhất. Tuy nhiên, lỗi này ảnh hưởng đến các dòng sản phẩm AMD Zen 1, Zen 2 và Zen 3 với SMT được bật.·Nguyên nhân do chúng sử dụng hàng chờ lệnh riêng biệt cho mỗi đơn vị thực thi.
AMD đã phân loại mức độ đe dọa là “Trung bình” và khuyến nghị “các nhà phát triển sử dụng các phương pháp hay nhất hiện có, bao gồm các thuật toán thời gian liên tục và tránh các luồng kiểm soát phụ thuộc bí mật khi thích hợp để giúp giảm thiểu lỗ hổng tiềm ẩn này”.
Intel và AMD đang tìm cách để giải quyết vấn đề bảo mật của riêng họ. Cùng chờ xem động thái mới nhất của các ông lớn công nghệ.
