宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 波场 > 正文

英特尔 SGX 技术爆漏洞,对大批加密货币项目造成冲击

作者:

时间:1900/1/1 0:00:00

作者:Perry?Wang来源:链闻Chainnews

据英国金融时报报道,近日,英特尔确认了其处理器芯片中又一个漏洞「Foreshadow」。这是英特尔今年继1月份发现的Meltdown和Spectre之后第三个重要漏洞。

据了解,该漏洞被两个团队分别发现,一个团队来自比利时鲁汶大学,另一个团队包括美国密歇根大学和澳大利亚阿德莱德大学的专家,可以从CPU上的受保护飞地中窃取秘密,影响了英特尔的SGX技术。

该技术旨在让计算机上运行的应用程序将最敏感的数据放入虚拟堡垒中。英特尔的SGX技术实际上应该可以防止投机性执行式攻击。然而,安全研究人员发现了一种绕过安全措施的方法,并在计算机CPU的不受保护的位置创建任何SGX飞地的「影子副本」。然后可以读取飞地内的数据,使保护无用。

美国政府的计算机应急准备小组在8月14日警告称,攻击者可能利用该漏洞获取敏感信息。利用「预兆」,网络罪犯可以获取一个内存芯片内的任意信息,包括敏感数据、通往长期内存的密码和密钥,攻击者还可以将敏感数据在一个安全飞地复制并获取。

Argo Blockchain倾向于”使用英特尔芯片设计定制矿机:金色财经报道,比特币矿企Argo Blockchain首席执行官彼得?沃尔在接受采访时表示,该公司“倾向于”使用英特尔的芯片设计自己的机器,并与第三方制造商合作,让它们变得有生命。英特尔的这一产品有望打破Bitmain和MicroBT垄断矿用专用集成电路(asic)市场的局面。更重要的是,沃尔表示,他们可以让矿工有机会设计自己的机器,而不是只能满足于制造商提供的现成机器。(coindesk)[2022/5/12 3:09:06]

不过,专家表示,与一般的漏洞攻击相比,「Foreshadow」是比较难以利用的。

英特尔就相关安全漏洞官方回应链闻称,英特尔和行业合作伙伴们发布了被命名为L1终端故障「简称为L1TF」的详细情况和防御措施。L1TF是一种最近发现的推测执行侧信道分析的安全漏洞,会影响一部分支持特尔SGX。英特尔目前还没有收到这些漏洞被实际攻击利用的报告,但这进一步突出了全行业均遵循最佳安全实践的必要性。这些实践包括:即时更新电脑系统、采取措施以防止恶意软件等。有关上述实践的更多信息,可参考美国国土安全部网站。

英特尔买入逾3000股Coinbase为其在加密货币领域的首次投资:金色财经报道,英特尔的机构投资经理向美国证交会提交的季度报告显示,英特尔以76.3万美元买入了3014股Coinbase股票。考虑到英特尔约2160亿美元的总市值,此次买入规模可能看起来很小,但这代表了这家全球最大半导体芯片制造商在加密货币领域的第一笔有意义投资。[2021/8/14 1:54:27]

另外,科技行业也尚未报告任何利用Spectre、Meltdown或最近发现的Foreshadow漏洞的攻击。在尝试武器化漏洞之前,网络犯罪分子更有可能坚持使用经过验证的黑客攻击方法,例如电子邮件网络钓鱼和密码破解。

目前英特尔推出了新的补丁程序,它将与之前Meltdown和Spectre的更新相结合,以抵御潜在的威胁。微软也发布了补丁程序以减轻危险。

「一旦系统更新,我们预计运行非虚拟化操作系统的消费者和企业用户面临的风险将会很低,」英特尔在一份声明中表示。「这包括大部分数据中心安装基础和绝大多数PC客户端。在这些情况下,基于我们在测试系统上运行的基准测试,我们没有看到上述缓解措施带来的任何有意义的性能影响。」

Phala:英特尔缓存泄露漏洞并未对TEE项目造成影响:金色财经报道,日前,Intel已于6月9日发布微码补丁修复了缓存泄露漏洞(CVE-2020-0548/0549),即所谓可被利用泄露敏感数据的漏洞。经由Phala Network团队测试确认,未升级的Intel SGX设备已经被吊销证书,SGX设备必须升级才能通过远程认证。

据悉该漏洞是由安全团队于去11月向Intel提交报告的,1月与英特尔共同公布初步信息,6月9日释放补丁并吊销证书,该漏洞没有对TEE项目造成实际安全影响。[2020/6/15]

但是,英特尔警告运行虚拟机的数据中心「防范情况」,云提供商无法保证所有虚拟化操作系统都受到保护。根据Linux供应商RedHat的说法,这可能意味着云提供商需要关闭支持虚拟机的虚拟机管理程序线程,这可能会降低服务器性能。

英特尔已在此发布基准,并为寻求更多信息的客户提供安全建议。亚马逊和谷歌等大型云服务提供商表示,他们已经制定了缓解措施,以保护客户免受威胁。

受累于英特尔Bug Bittrex钱包被强制下线:在星期三,科技界爆出“计算机芯片漏洞导致关键数据暴露”事宜,引发业内震动。本次新发现的主要影响Intel芯片的Bug被命名为“ Meltdown”和“Spectre”。就安全角度而言,这个问题涉及到所有使用英特尔技术支持设备连接到互联网的人。而实际上,这个bug也已经被人真实的感受到:Bittrex交易所在服务器修补期间迫使钱包下线。[2018/1/5]

与此同时,AMD表示该公司的芯片「不易受」Foreshadow漏洞的影响。

大批加密货币项目受牵连

由于很多加密货币项目计划采用这一技术,对于加密货币世界而言,Foreshadow漏洞是个巨大的威胁。

其中最为引人瞩目的是Signal平台幕后的著名极客MoxieMarlinspike正在发售一种更为节约能源的代币MobileCoin,甚至为这一项目募集了3,000万美元。

因为这一漏洞,这些项目在真正落地推出前必须得做出一些修改。

「漏洞的发现对加密货币世界有着广泛冲击,」康奈尔大学安全研究人员PhilDaian对Coindesk表示。

不过好消息是研究人员遵循安全界「负责任」原则,在公开之前通知了英特尔,让英特尔几个月前就部署了安全补丁。不过安全界依然认为做得不够。

Daian表示:

「因为系统升级很慢,很多补丁涉及到硬件升级升级,基础设施很长时间面对相关攻击依然非常脆弱……如果这一漏洞在某一时间点被利用来窃取加密货币,一点也不奇怪。」

开发者计划以MobileCoin取代挖矿,打造一种更为节约能源的加密货币。而涉及到SGX技术的加密货币项目远远不止这一个。

隐私数据存储计算的去中心化平台Enigma利用SGX独特技术来增强智能合约对隐私的保护,Enigma发布了一个利用SGX进行计算的测试网。钱包硬件企业Ledger与英特尔达成盟友关系,探讨利用SGX技术存储私钥。Golem发布了Graphene-ng以帮助开发人员编写支持SGX的代码,OasisLabs则通过从a16z等机构募集了4,500万美元,用于构建支持SGX的分布式计算平台。类似的名单还很长。

三大笔记本电脑制造商:惠普、联想和戴尔都支持SGX。MacBook有了支持SGX的芯片,但BIOS还没有配置完成,还不能让操作系统支持该功能。等到有一天苹果也加入SGX阵营,全球四大笔记本电脑品牌都将内置支持SGX的计算。

「SGX技术需要接受研究人员反复测试和破解,直到它能宣称达到很高的安全水准,这可能需要耗费数年时间,」Daian表示,不过他补充说,他相信可信的硬件配合SGX技术,有朝一日能为加密货币世界作出重要的贡献。

简单而言,这需要很长时间。

本文来源于非小号媒体平台:

Perry

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3626980.html

漏洞风险安全

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

下一篇:

文摘|如何避免加密空间中两个最常见的局?

标签:加密货币DOWCOINOIN子让我买加密货币DowcoinMIB CoinIoTcoin

波场热门资讯
普华永道:大型银行与 BATJ 合作流于形式 区块链应用前景不明朗

9月4日,普华永道发布了一年一度的金融科技调查报告。调查结果显示,超半数的受访传统金融机构正通过不同形式自主进行金融科技的研发和应用,或选择与金融科技公司建立多样化的合作模式.

1900/1/1 0:00:00
火星一线 | 纽约商品交易所交易员称比特币将在短期内回调至7000美元

火星财经APP一线报道,纽约商品交易所的加密货币交易员AnthonyGrisanti在接受CNBC采访时表示,比特币价格将在短期内会回调至7000美元并进行调整.

1900/1/1 0:00:00
以太坊未来一年资金规划首度披露,ETH或迎大幅上涨

出品|火星财经APP 以太坊基金会表示,预算中的1900万美元将用于开发以太坊2.0,另外800万美元用于维持现有以太坊网络,最后的300万美元用于工程师培训和教育.

1900/1/1 0:00:00
文摘 | 如何避免加密空间中两个最常见的局?

原文阅读时长8分钟:https://hackernoon.com/two-common-scams-i-have-seen-in-the-cryptospace-and-how-to-avoid-them-9a9e79d78ada在加.

1900/1/1 0:00:00
漏洞赏金计划:本体与慢雾生态安全合作升级

日前,本体宣布入驻慢雾区,发布「安全漏洞与威胁情报赏金计划」,发现漏洞者可获取高额奖励。区块链生态,安全已经是必选项,值得一提的是,早在今年5月,慢雾就正式加入本体的「共建者计划」,为本体提供安全审计服务,推动本体区块链公有链领域的安.

1900/1/1 0:00:00
对于此次升级延迟,以太坊社区成员们如何看待?

2019年1月15日,ChainSecurity在Medium上发表了一篇题为ConstantinopleenablesnewReentrancyAttack的文章,文中通过代码示例的方式.

1900/1/1 0:00:00