Intel публикува информация за нов клас уязвимости

Intel публикува информация за нов клас уязвимости в своите процесори - MDS (Microarchitectural Data Sampling). Подобно на предишните атаки на Spectre, новите проблеми могат да доведат до изтичане на собствени данни от операционната система, виртуални машини и чужди процеси. Твърди се, че проблемите са идентифицирани за първи път от служители и партньори на Intel по време на вътрешен одит. През юни и август 2018 г. информация за проблемите също беше предоставена на Intel от независими изследователи, след което беше извършена почти година съвместна работа с производители и разработчици на операционни системи за идентифициране на възможни вектори на атака и доставяне на корекции. Процесорите AMD и ARM не са засегнати от проблема.

Идентифицирани уязвимости:

CVE-2018-12126 - MSBDS (извадка от данни за буфер на микроархитектурно съхранение), възстановяване на съдържанието на буфери за съхранение. Използва се в атаката Fallout. Степента на опасност е определена 6.5 бала (CVSS);

CVE-2018-12127 - MLPDS (микроархитектурно вземане на проби от данни на порт за зареждане), възстановяване на съдържанието на порт за зареждане. Използва се в RIDL атаката. CVSS 6.5;

CVE-2018-12130 - MFBDS (микроархитектурно вземане на проби от данни за буфер за пълнене) възстановяване на съдържанието на буфер за пълнене. Използва се при ZombieLoad и RIDL атаки. CVSS 6.5;

CVE-2019-11091 - MDSUM (микроархитектурни данни за вземане на проби от некешируема памет), възстановяване на некешируемо съдържание на паметта. Използва се в RIDL атаката. CVSS 3.8.

Източник: linux.org.ru