John pan

  奧地利大學和德國資料安全組織的研究人員發現了一個名為“Collide + Power”新安全漏洞不僅影響幾乎所有CPU，駭客能監控CPU功耗，可能導致未經授權的信息洩露。該新安全漏洞稱為CVE-2023-20583，涉及研究處理攻擊者已知數據和受害者未知數據期間的功耗模式。因此，通過檢查電源使用情況，駭客能推斷出受害者CPU緩存的內容，而洩露加密密鑰和短標識字元符號。

  此外Collide+Power安全漏洞有兩種：MDS-Power和Meltdown-Power。說到MDS-Power，如果超執行緒處在活動狀態，它能以每小時4.82-bit速率從同級硬體執行緒上的另一個安全域竊取數據。然而，按照這速度，從雲端供應商提取4,096-bit RSA密鑰需要一個月時間。另一種Meltdown-Power的速度更慢，以每小時0.136-bit速度洩漏數據。在現實中由於記憶體預取，攻擊變得更緩慢，如果要完全部署估計要2.86年才能從內核獲取單個bit。研究人員說：“然而，如果發現預取受害者數據與攻擊者控制數據共置的新架構或微架構方法，這種低安全風險可能會發生巨大變化。”

修補CVE-2023-20583漏洞

  儘管該漏洞對普通駭客來說似乎不可行，它引起AMD公司的興趣，AMD已確認其EPYC伺服器CPU包含性能確定性模式，可降低數據洩露風險。同樣Intel引用現有功能和指導有效性，以緩解電力側通道攻擊，這些攻擊是對 PLATYPUS和Hertzbleed等之前威脅而開發的。

謝謝收看