发现英特尔SGX漏洞，威胁加密货币密钥

 
据报道，在英特尔的Software Guard eXtensions(SGX)中发现了一个漏洞，该漏洞使密码，加密密钥和其他敏感数据从计算机的内存中被窃取。
3月10日，计算机研究员Daniel Gruss向YouTube上传了一段视频，描述了如何使用概念验证攻击(称为“负载值注入[LVI]”)从英特尔SGX窃取敏感数据，包括加密货币的加密密钥。交易所和钱包。
该攻击非常重要，因为SGX处理器旨在提供安全的存储敏感的存储在计算机内存中的内存，即使存在恶意操作系统也是如此。
LVI公开了英特尔SGX的加密货币密钥
LVI通过使易受攻击的系统运行可以托管在恶意网站或应用程序上的脚本来发起针对SGX的旁道攻击，从而发挥作用。一旦受到威胁，攻击者就可以访问SGX中存储的加密密钥。格鲁斯州：“在崩溃类型的攻击中，攻击者故意尝试加载机密数据-导致处理器取消并重新发布负载。取消的负载会持续运行一小段时间-足以使攻击者对机密数据执行操作。”
LVI攻击最早是由Jo Van Bulk在2019年4月发现的。他于3月10日发表了一篇详细介绍攻击的学术论文，其中包括Daniel Gruss和其他八名研究人员的贡献。
预计攻击不会针对消费类计算机
该论文将LVI攻击描述为反向Meltdown攻击，研究人员指出，尽管LVI主要针对Intel CPU，但其他容易受到Meltdown攻击的芯片也很容易受到攻击。
但是，研究人员得出结论，认为LVI攻击不太可能被用于开发消费类计算机，理由是执行LVI的难度极大，并且普遍存在使用更简单的手段来危害消费级计算机系统的情况。
攻击还必须在执行恶意代码时进行，这进一步降低了将LVI漏洞用于目标用户计算机的可能性。
英特尔发布易受攻击的处理器列表
作为回应，英特尔发布了一份清单，列出了所有容易受到LVI攻击的处理器，并指出所有为Meltdown固定了硬件的英特尔芯片都没有受到威胁。英特尔表示：“研究人员已经确定了一种称为负荷值注入(LVI)的新机制。由于要成功执行必须满足许多复杂的要求，因此英特尔不认为LVI在可信赖的OS和VMM的现实环境中是一种实用的方法。”