Security Week 47: обновленная атака Rowhammer на модули памяти DDR4
На прошлой неделе исследователи из Высшей технической школы в Швейцарии (ETH Zurich) опубликовали работу (пост в блоге команды, сама работа, исходники на GitHub), описывающую новый метод атаки типа Rowhammer на модули памяти стандарта DDR4. Атака получила название Blacksmith и идентификатор CVE-2021-42114.
Работа представляет интерес по многим причинам. Во-первых, это развитие известной атаки на железо, подтверждающее уязвимость вполне актуальных модулей памяти DDR4 (ранее тестировались модули DDR3). Во-вторых, авторы применили нестандартный метод, который можно условно назвать «Rowhammer со вкусом фаззинга», предполагающий атаку с помощью случайных паттернов. В-третьих, было показано, что существующие аппаратные средства защиты от такого рода атак не работают. Более того, даже память типа ECC затрудняет атаку, но не исключает ее полностью.
Читать дальше →
Работа представляет интерес по многим причинам. Во-первых, это развитие известной атаки на железо, подтверждающее уязвимость вполне актуальных модулей памяти DDR4 (ранее тестировались модули DDR3). Во-вторых, авторы применили нестандартный метод, который можно условно назвать «Rowhammer со вкусом фаззинга», предполагающий атаку с помощью случайных паттернов. В-третьих, было показано, что существующие аппаратные средства защиты от такого рода атак не работают. Более того, даже память типа ECC затрудняет атаку, но не исключает ее полностью.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Spark_news: «ЯНДЕКС» объявляет финансовые результаты за I квартал 2024 года
- Spark_news: Спрос на менеджеров маркетплейсов в России вырос на 27%
- Уязвимости на GitHub: в библиотеке Ruby, которую скачали 250 000 раз, модулях для электронных замков и популярных играх
- Избавляемся от паролей
- ТрансАвто-7 126228: Им придётся заплатить: кого ждет повышенный транспортный налог в 2024 году
- 1PS.RU: Фейковые отзывы: 16 показателей, которые помогут уловить ложь
- Подкаст Стартап-секреты: Продал стартап Яндексу: почему корпорация купит твой ИТ-проект, даже если он не будущий единорог
- Мошенничество? Атака на IT компании
- От падений базы данных до кибератак: история о том, как мы обнаружили взлом
- Банк для бизнеса «Бланк»: В МСП ждут ставку в 14% к лету 2024 года