• 發布單位:TWCERT/CC
• 更新日期:2023-08-07
• 點閱次數:8279

奧地利格拉茨科技大學（Graz University of Technology）的研究團隊，近日發現各廠牌推出的中央處理器（Central Processing Unit, CPU）中，存有一個共同的漏洞「Collide+Power」，可讓駭侵者以特殊方式竊得 CPU 內傳輸的資料。

根據格拉茨科技大學團隊的報告指出，該漏洞的實作方式，是駭侵者可藉由駭侵者對CPU 發出的資料集，在 CPU 中與其他應用程式送出的資料發生「對撞」（collision）時，改寫先前存在 CPU 快取記憶體中儲存的資料時，來測量 CPU 的耗電量變化，因而取得某些機敏資訊。

研究人員指出，受此 Collide+Power 漏洞影響的 CPU 款式可能十分廣泛，包括 Intel、AMD 或基於 ARM 架構設計的 CPU 都可能含此漏洞；雖然目前無法一一確認實際含有該漏洞的 CPU 型號有哪些，但研究人員假設所有型式的 CPU 都含有此漏洞。

該漏洞也已經提報為 CVE-2023-20583，但其 CVSS 危險程度評分僅有 4.7 分（滿分為 10 分），危險程度並不高；對此研究人員指出主要是因為 Collide+Power 攻擊取得的資料精確度並不高，而且必須以繁雜的方式進行實體接線，並進行複雜的計算分析，才能測量到 CPU 耗電量的變化，因此包括研究人員與 AMD 公司，都認為終端用戶不太容易受到駭侵者以此方式進行攻擊。

研究人員也表示，當代 CPU 的設計中，不容易避免資料碰撞的問題發生；即使發現 Collide+Power 理論上可使用資料碰撞問題來竊取資料，但因此而大幅修改 CPU 的設計方式是不切實際的；比較合理的方式是阻止駭侵者有機會接觸電腦設備，以測量 CPU 的用電量變化才對。

• CVE 編號：CVE-2023-20583
• 影響產品：各廠牌 CPU 都可能有此問題，但攻擊實作困難，一般用戶無需擔憂。
• 解決方案：建議妥善管制重要設備的存取權限，避免駭侵者有機會接觸電腦實體，並裝設測量設備。