Как бы вольготно ни чувствовали себя рядовые пользователи, особо не спешащие применять новые «заплатки» для устранения разнообразных «дыр» в своих процессорах, специалисты всё продолжают искать новые типы атак и всесторонне изучать старые, озадачивая производителей процессоров и крупные компании: на сей раз группа исследователей обнаружила новый класс уязвимостей, а их исправление может серьёзно огорчить приверженцев продукции Intel, сообщает ресурс The Register.

Источник изображения: Intel

Атака Load Value Injection (LVI), выявленная специалистами нескольких университетов, которые уже отметились ранее обнаружением уязвимостей Metldown и Spectre, а также исследователями компании Bitdefender, позволяет злоумышленникам заполучить конфиденциальные данные с устройства жертвы и не может быть исправлена методами, спасающими от существующих уязвимостей. Кроме того, согласно утверждениям специалистов, внесение программных правок, а именно изменений в компилятор, может снизить производительность от 2 до 19 раз.

При помощи новой уязвимости, являющейся неким «антиподом» давно изученных атак Spectre и Metldown, атакующий в состоянии внедрить свои данные через скрытые буферы процессора, в результате чего сможет влиять на исполнение кода устройства-жертвы и извлекать закрытые данные.

Впрочем, новая атака не может быть исполнена удалённо и сложна для выполнения, поэтому специалисты Intel присвоили ей невысокий уровень опасности (5,6 баллов из 10), а также выпустили «заплатки» для SGX, препятствующие её проведению по обходным каналам, а вот обновление микрокода, судя по имеющимся данным, пока не планируется. Стоит заметить, что уязвимости подвержены как серверные, так и настольные процессоры, в том числе относящиеся к семейству Comet Lake.

Необходимо отметить, что атака была воспроизведена только на процессорах Intel, однако исследователи считают, что продукты других производителей также могут быть подвержены уязвимости.