Security Week 2347: уязвимость в процессорах Intel
На прошлой неделе компания Intel выпустила бюллетень, посвященный уязвимости в процессорах, начиная с поколения Ice Lake 2019 года (десятое поколение Intel Core). Как следует из описания, «определенная последовательность инструкций может приводить к нестандартному поведению». Довольно часто эти сухие слова — все, что мы узнаем о какой-либо проблеме, но в данном случае у нас есть подробное описание уязвимости от команды исследователей Google во главе с Тависом Орманди (краткий пересказ исследования также есть в этой новости на Хабре).
Суть уязвимости в самой сжатой форме приведена на скриншоте выше: примерно такой кусок кода может вызывать сбои в работе процессоров Intel вплоть до полного отказа в обслуживании. Чтобы разобраться в причинах такого поведения, требуется небольшой экскурс в особенности низкоуровневого программирования. Впрочем, самый важный нюанс таков: префикс rex.rxb не имеет смысла в комбинации с инструкцией movsb для перемещения данных в памяти и по всем правилам должен отбрасываться при выполнении программы. Но по факту процессор как-то его интерпретирует, причем с весьма непредсказуемыми результатами.
Читать дальше →
Суть уязвимости в самой сжатой форме приведена на скриншоте выше: примерно такой кусок кода может вызывать сбои в работе процессоров Intel вплоть до полного отказа в обслуживании. Чтобы разобраться в причинах такого поведения, требуется небольшой экскурс в особенности низкоуровневого программирования. Впрочем, самый важный нюанс таков: префикс rex.rxb не имеет смысла в комбинации с инструкцией movsb для перемещения данных в памяти и по всем правилам должен отбрасываться при выполнении программы. Но по факту процессор как-то его интерпретирует, причем с весьма непредсказуемыми результатами.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- [Перевод] Как найти исходный IP любого веб-сайта за WAF
- Приоритизация уязвимостей с EPSS в кибербезопасности
- Безопасность приложений: инструменты и практики для Java-разработчиков
- Как технологические гиганты переосмысливают кибербезопасность в эпоху ИИ-агентов
- Агентство мобильной разработки InstaDev: «Быстро, дёшево, качественно»: Почему заказчики не могут получить всё сразу - и чем это оборачивается
- Spark_news: «Авито» направит свыше 1 млрд. рублей на финансирование собственного научно-исследовательского подразделения
- Карты, деньги, два клика: как превратить Яндекс Карты в главный источник клиентов в 2025 году
- Внедрение шеллкода в Microsoft Office, или как злоумышленники эксплуатируют старую уязвимость в новых атаках
- Шухрат Мамасыдыков: Как попасть в рекомендации ChatGPT и продвигать бренд без рекламы
- МТС Твой бизнес: Аналитика МТС AdTech и МТС Банка: альфа впервые обошли зумеров по количеству покупок на маркетплейсах