멀티쓰레드 CPU의 새로운 취약점. PortSmash

부제 : 연구자들은 큰 이슈라고 주장하지만 인텔은 동의하지 않습니다

중요한 이유 : PortSmash는 동시 다중 스레딩(SMT/HT)을 사용하여 암호화 키를 훔쳐 프로세서 코어가 수행중인 작업을 확인하는 위험한 취약점입니다. 지금까지 인텔의 카비 레이크 (Kaby Lake)와 스카이 레이크 (Skylake) 플랫폼에서 작동하는 것으로 확인됐지만 AMD를 포함한 하이퍼 스레딩 (hyperthreading) 기능을 갖춘 모든 프로세서에서 “강력하게 의심” 됩니다

….

인터넷의 60% 이상에서 사용되는 암호화 라이브러리인 OpenSSL 은 직접 메서드를 통한 액세스를 차단하는 패치를 이미 릴리스 했습니다. 곧 더 일반화된 패치가 나오겠지만 보안 전문가들은 하드웨어와 BIOS단에서 패치가 진행되어야한다고 말합니다.

그리고 연구원들은 10월 1일 이 취약점에 대해 인텔에 통보하였으나 인텔은 따르지 않았습니다.

“이 문제는 투기 실행에 의존하지 않으므로 Spectre, Meltdown 또는 L1 Terminal Fault와 관련이 없습니다. 우리는 그것이 인텔 플랫폼에서만 발생하지는 않다고 예상합니다. 사이드 채널 분석 방법에 대한 연구는 종종 공유 하드웨어 리소스의 타이밍과 같은 특성을 조작하고 측정하는 데 중점을 둡니다. 소프트웨어 또는 소프트웨어 라이브러리는 사이드 채널 안전 개발 관행을 사용하여 이러한 문제로부터 보호할 수 있습니다. 고객의 데이터를 보호하고 제품의 보안을 보장하는 것이 인텔의 최우선 과제이며 고객, 파트너 및 연구원과 협력하여 식별되는 취약점을 이해하고 완화할 것입니다. ”

AMD는 이 PortSmash 취약점에 대해 조사중이라고 밝혔습니다.

“AMD에서 보안이 최우선 순위이며 새로운 위험이 발생할 때마다 사용자의 안전을 보장하기 위해 지속적으로 노력하고 있습니다. 우리는 잠재적인 AMD 제품 특성을 확인하기 위해 방금받은 PortSmash 측면 채널 취약성 보고서를 조사하고 있습니다. ”

https://www.techspot.com/news/77240-meet-latest-vulnerability-multi-threaded-cpu-portsmash.html

댓글 남기기

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d 블로거가 이것을 좋아합니다: