다운(보안 취약성)

Downfall (security vulnerability)
참고 항목:일시적 실행 CPU 취약성
다운폴
CVE 식별자CVE-2022-40982
해당 하드웨어6-11세대 Intel Core CPU
웹사이트https:// downfall.page/

다운폴(Downlack) 또는 GDS(Gather Data Sampling)는 소비자 6세대에서 11세대까지, Xeon Intel x86-64 마이크로프로세서 1세대에서 4세대까지 발견되는 컴퓨터 보안 취약성입니다.[1][2] 취약성은 벡터 레지스터의 내용을 드러내기 위해 AVX(Advanced Vector Extensions) 명령의 추측 실행에 의존하는 일시적 실행 CPU 취약성입니다.[3][4]

취약성

인텔의 SGX(소프트웨어 가드 확장)[4] 보안 하위 시스템도 이 버그의 영향을 받습니다.

Daniel Moghimi 보안 연구원은 Daniel Moghimi를 통해 다운링크 취약점을 발견했습니다. Daniel Moghimi는 2023년 8월 취약점에 대한 정보를 공개했습니다.[5][6]

인텔은 이 취약점을 해결하기 위해 마이크로코드 업데이트를 약속했습니다.[1]마이크로코드 패치는 일부 심하게 벡터링된 로드의 성능을 크게 저하시키는 것으로 나타났습니다.[7]

이 취약성의 영향을 완화하기 위한 패치도 Linux 커널의 다가오는 버전 6.5의 일부로 생성되었습니다.[8]여기에는 마이크로코드 완화를 사용할 수 없는 CPU에서 AVX 확장을 완전히 비활성화하는 코드가 포함되어 있습니다.[9]

공급업체 대응

참고문헌

  1. ^ a b "Gather Data Sampling / CVE-2022-40982 / INTEL-SA-00828". Intel. Retrieved 2023-08-08.
  2. ^ "Affected Processors: Transient Execution Attacks & Related Security..." Intel. Retrieved 2023-08-16.
  3. ^ Newman, Lily Hay. "New 'Downfall' Flaw Exposes Valuable Data in Generations of Intel Chips". Wired. ISSN 1059-1028. Retrieved 2023-08-08.
  4. ^ a b Ilascu, Ionut (2023-08-08). "New Downfall attacks on Intel CPUs steal encryption keys, data". BleepingComputer. Retrieved 2023-08-08.
  5. ^ Wright, Rob (2023-08-08). "Google unveils 'Downfall' attacks, vulnerability in Intel chips". Security. Retrieved 2023-08-08.
  6. ^ Larabel, Michael (2023-08-08). "Intel DOWNFALL: New Vulnerability Affecting AVX2/AVX-512 With Big Performance Implications". www.phoronix.com. Retrieved 2023-08-08.
  7. ^ Liu, Zhiye (2023-08-10). "Intel's Downfall Mitigations Drop Performance Up to 39%, Tests Show". Tom's Hardware. Retrieved 2023-08-11.
  8. ^ Larabel, Michael (2023-08-08). "Linux 6.5 Patches Merged For Intel GDS/DOWNFALL, AMD INCEPTION". www.phoronix.com. Retrieved 2023-08-09.
  9. ^ Corbet, Jonathan (August 8, 2023). "Another round of speculative-execution vulnerabilities". lwn.net. Retrieved 2023-08-11.
  10. ^ "CVE-2022-40982 - Gather Data Sampling - Downfall". Amazon Web Services, Inc. 2023-08-08.
  11. ^ "Citrix Hypervisor Security Bulletin for CVE-2023-20569, CVE-2023-34319 and CVE-2022-40982". support.citrix.com.
  12. ^ "DSA-2023-180: Security Update for Intel Product Update 2023.3 Advisories Dell US". www.dell.com.
  13. ^ "CVE-2022-40982". security-tracker.debian.org.
  14. ^ "Security Bulletins Customer Care". Google Cloud.
  15. ^ "Intel 2023.3 IPU – BIOS August 2023 Security Updates HP® Customer Support".
  16. ^ "INTEL-SA-00828". Intel. 2023-08-08.
  17. ^ "Multi-vendor BIOS Security Vulnerabilities (August 2023) - Lenovo Support US". support.lenovo.com.
  18. ^ "KB5029778: How to manage the vulnerability associated with CVE-2022-40982 - Microsoft Support". support.microsoft.com. Retrieved 2023-09-06.
  19. ^ "QSB-093: Transient execution vulnerabilities in AMD and Intel CPUs (CVE-2023-20569/XSA-434, CVE-2022-40982/XSA-435)". Qubes OS Forum. August 9, 2023.
  20. ^ "cve-details". access.redhat.com.
  21. ^ "Intel Platform Update (IPU) Update 2023.3, August 2023 Supermicro". www.supermicro.com.
  22. ^ "CVE-2022-40982". Ubuntu.
  23. ^ https://blogs.vmware.com/security/2023/08/cve-2022-40982.html
  24. ^ "oss-sec: Xen Security Advisory 435 v1 (CVE-2022-40982) - x86/Intel: Gather Data Sampling". seclists.org.

외부 링크