Intel opublikował informację o nowej klasie luk w swoich procesorach – MDS (Microarchitectural Data Sampling). Podobnie jak poprzednie ataki Spectre, nowe problemy mogą prowadzić do wycieku zastrzeżonych danych z systemu operacyjnego, maszyn wirtualnych i obcych procesów. Zarzuca się, że problemy zostały po raz pierwszy zidentyfikowane przez pracowników i partnerów Intela podczas audytu wewnętrznego. W czerwcu i sierpniu 2018 roku informacje o problemach przekazali firmie Intel także niezależni badacze, po czym trwała niemal rok wspólnej pracy z producentami i twórcami systemów operacyjnych w celu zidentyfikowania możliwych wektorów ataków i dostarczenia poprawek. Problem nie dotyczy procesorów AMD i ARM.
Zidentyfikowane podatności:
CVE-2018-12126 - MSBDS (Microarchitectural Store Buffer Data Sampling), odzyskiwanie zawartości buforów pamięci. Używany w ataku Fallout. Stopień zagrożenia określa się na 6.5 punktu (CVSS);
CVE-2018-12127 — MLPDS (próbkowanie danych mikroarchitektury portu ładowania), odzyskiwanie zawartości portu ładowania. Używany w ataku RIDL. CVSS 6.5;
CVE-2018-12130 — MFBDS (próbkowanie danych mikroarchitektury bufora wypełniania), odzyskiwanie zawartości bufora wypełniania. Używany w atakach ZombieLoad i RIDL. CVSS 6.5;
CVE-2019-11091 – MDSUM (Microarchitectural Data Sampling Uncacheable Memory), odzyskiwanie zawartości pamięci, której nie można buforować. Używany w ataku RIDL. CVSS 3.8.
Źródło: linux.org.ru