Back Foreshadow Catalan Foreshadow English Foreshadow LMO

Foreshadow

Foreshadow, познат и као L1 Terminal Fault (L1TF) направљен од стране Intel-а, [1] је рањивост која погађа савремене микропроцесоре коју су два независна тима истраживача први пут открила у јануару 2018. године, али је јавности први пут обелодањена 14. августа 2018. године. [18] Рањивост је напад спекулативног извршавања на Интелове процесоре који може резултовати откривањем осетљивих информација складиштених у личним рачунарима и облацима независних произвођача . Постоје две верзије: прва верзија (оригинал/Foreshadow) (CVE-2018-3615) циља податке из SGX енклава ; и друга верзија (следећа генерација/Foreshadow-NG) [19] (CVE-2018-3620 и CVE-2018-3646) циља навиртуелне машине (енгл. VM), хипервизоре (енгл. VMM), меморију језгра оперативног система (енгл. OS) и меморију модема управљања системом (енгл. SMM). Објављен је списак погођених Интелових хардвера.

Foreshadow је сличан Spectre сигурносним рањивостима раније откривеним да утичу на Интел и АМД чипове, као и Meltdown рањивости која је такође утицала на Интел. Међутим, АМД-ови производи, према АМД-у, не утичу на Foreshadow сигурносне недостатке. Према једном стручњаку, „[Foreshadow] омогућава злонамерном софтверу да продре у сигурна подручја која чак ни Spectre и Meltdown не могу разбити“. Ипак, једна од варијанти Foreshadow-а превазилази Интелове чипове са SGX технологијом, и утиче на „све Интел Core процесоре изграђене у последњих седам година“.

Foreshadow може бити веома тешко искористити, и чини се да до данас (15. августа 2018. године) нема доказа о било каквом озбиљном хаковању које укључује Foreshadow рањивости. Ипак, примена софтверских закрпа може помоћи у ублажавању неких забринутости, иако би равнотежа између сигурности и перформанси могла бити вредна разматрања. Компаније које се баве рачунарством у облаку могу да примете значајан пад у њиховој укупној рачунарској снаги; Према истраживачима, појединци, међутим, вероватно неће утицати на перформансе. Према Интелу, право решење је замена данашњих процесора. Интел даље наводи, „Ове промене почињу са нашом следећом генерацијом Intel Xeon Scalable процесора (кодног имена Cascade Lake) [20] [21] као и новим клијентским процесорима за које се очекује да ће бити представљени касније ове године [2018]."

Дана 16. августа 2018. истраживачи су на семинару представили техничке детаље Foreshadow сигурносних рањивости, и публикацију под називом „Foreshadow: Extracting the Keys to the Intel SGX Kingdom with Transient Out-of-Order Execution“ на USENIX security конференцији. [22]

  1. ^ https://software.intel.com/security-software-guidance/software-guidance/l1-terminal-fault
  2. ^ „Foreshadow - Breaking the Virtual Memory Abstraction with Transient Out-of-Order Execution”. ForeShadowAttack.eu. 14. 8. 2018. Приступљено 14. 8. 2018. 
  3. ^ Kan, Michael (14. 8. 2018). „New 'Foreshadow' Flaw Exploits Intel Chips To Steal Protected Data - The new vulnerability builds on research related to the Meltdown and Spectre flaws. Foreshadow can be exploited to read data from Intel's SGX technology, while a separate variant can break the security protections in data centers that run virtual machines.”. PC Magazine. Приступљено 14. 8. 2018. 
  4. ^ Bright, Peter (14. 8. 2018). „Intel's SGX blown wide open by, you guessed it, a speculative execution attack - Speculative execution attacks truly are the gift that keeps on giving.”. Ars Technica. Приступљено 14. 8. 2018. 
  5. ^ Newman, Lily Hay (14. 8. 2018). „Spectre-like Flaw Undermines intel Processors' Most Secure Element”. Wired. Приступљено 15. 8. 2018. 
  6. ^ Vaughan-Nichols, Steven J. (14. 8. 2018). „Beyond Spectre: Foreshadow, a new Intel security problem - Researchers have broken Intel's Software Guard Extensions, System Management Mode, and x86-based virtual machines.”. ZDNet. Приступљено 15. 8. 2018. 
  7. ^ Giles, Martin (14. 8. 2018). „Intel's 'Foreshadow' flaws are the latest sign of the chipocalypse”. MIT Technology Review. Приступљено 14. 8. 2018. 
  8. ^ Masters, Jon (14. 8. 2018). „Understanding L1 Terminal Fault aka Foreshadow: What you need to know”. Red Hat. Приступљено 18. 8. 2018. 
  9. ^ Chirgwin, Richard (15. 8. 2018). „Foreshadow and Intel SGX software attestation: 'The whole trust model collapses' - El Reg talks to Dr Yuval Yarom about Intel's memory leaking catastrophe”. The Register. Приступљено 15. 8. 2018. 
  10. ^ Lee, Dave (15. 8. 2018). „'Foreshadow' attack affects Intel chips”. BBC News. Приступљено 15. 8. 2018. 
  11. ^ Staff (14. 8. 2018). „Q3 2018 Speculative Execution Side Channel Update (Intel-SA-00161)”. Intel. Приступљено 1. 8. 2018. 
  12. ^ Armasu, Lucian (15. 8. 2018). „Intel Chips' List of Security Flaws Grows”. Tom's Hardware. Приступљено 15. 8. 2018. 
  13. ^ Kerner, Sean Michael (15. 8. 2018). „Intel SGX at Risk From Foreshadow Speculative Execution Attack - Another set of side-channel, speculative execution vulnerabilities have been publicly reported by security researchers; this time the vulnerabilities take specific aim at SGX secure enclave and hypervisor isolation boundaries.”. eWeek. Приступљено 15. 8. 2018. 
  14. ^ Kennedy, John (15. 8. 2018). „A Foreshadow of security: What you need to know about new Intel chip flaws”. Silicon Republic.com. Приступљено 15. 8. 2018. 
  15. ^ Hachman, Mark (15. 8. 2018). „Foreshadow attacks Intel CPUs with Spectre-like tactics (but you're probably safe) - You should be protected from L1TF if your PC is patched and up to date.”. PC World. Приступљено 16. 8. 2018. 
  16. ^ Hoffman, Chris (16. 8. 2018). „How to Protect Your PC From the Intel Foreshadow Flaws”. How-To Geek. Приступљено 16. 8. 2018. 
  17. ^ Constantin, Lucian (16. 8. 2018). „New Foreshadow Vulnerabilities Defeat Memory Defenses on Intel CPUs”. SecurityBoulevard.com. Приступљено 16. 8. 2018. 
  18. ^ [2][3][4][5][6][7][8][9][10][11][12][13][14][15][16][17]
  19. ^ https://foreshadowattack.eu/foreshadow-NG.pdf
  20. ^ Cutress, Ian (19. 8. 2018). „Intel at Hot Chips 2018: Showing the Ankle of Cascade Lake”. AnandTech. Приступљено 19. 8. 2018. 
  21. ^ Alcorn, Paul (22. 8. 2018). „Intel Unveils Cascade Lake, In-Silicon Spectre And Meltdown Mitigations”. Tom's Hardware. Приступљено 22. 8. 2018. 
  22. ^ Van Bulck, Jo; Minkin, Marina; Weisse, Ofir; Genkin, Daniel; Kasikci, Baris; Piessens, Frank; Silberstein, Mark; Wenisch, Thomas F.; Yarom, Yuval (16. 8. 2018). „Foreshadow: Extracting the Keys to the Intel SGX Kingdom with Transient Out-of-Order Execution” (PDF). USENIX. Архивирано (PDF) из оригинала 2018-08-18. г. Приступљено 16. 8. 2018. 
From Wikipedia, the free encyclopedia · View on Wikipedia

Developed by Nelliwinne