Аппаратные уязвимости часто невозможно исправить; исправления с помощью программных исправлений обычно влияют на производительность оборудования. Пользователи Intel столкнулись с некоторыми проблемами, связанными с проблемами Spectre и Meltdown, а также с их устранением. Теперь, похоже, появилась новая ошибка безопасности, затрагивающая процессоры Intel и AMD во всех категориях.
Напряжение + частота = бинго?
Исследователи безопасности изучают возможность извлечения криптографических данных из целевого процессора, просто измеряя энергопотребление во время обработки данных. Хотя эти попытки ни к чему не привели, исследователи обнаружили еще один способ злоупотребления данными о энергопотреблении процессора. По словам исследователей, можно отслеживать время, которое сервер тратит на ответы на определенные запросы, отслеживая данные динамического напряжения и масштабирования частоты. Этот недостаток, который называется Hertzbleed, можно отследить как CVE-2022-24436 для процессоров Intel и CVE-2022-23823 для процессоров AMD. Она затрагивает процессоры Intel Core, Xeon и AMD Ryzen 8-11–го поколений.
В то время как Hertzbleed имеет два CVE для двух марок процессоров, это не является реальной угрозой практически во всех случаях. Обработка данных на процессорах может привести к множеству различных возможностей, а процессы выполняются так быстро, что практически невозможно извлечь какие-либо данные, злоупотребляя данными о масштабировании напряжения и частоты, отличными от производительности процессора. Intel заявляет, что, хотя эта проблема интересна с точки зрения исследований, они не верят, что она будет работать вне лабораторной среды. Ни одна из компаний, производящих процессоры, не будет обновлять свои чипы против этой техники.
