AEpic Leak und SQUIP - neue Sicherheitslücken in Intel, AMD und ARM CPUs

10.08.2022 - Sicherheitsexperten von der TU Graz, Sapiens Uni Rom, Amazon AWS und CISPA haben eine neue Sicherheitslücke in Intel und AMD CPUs gefunden - AEpic Leck.           

Intel CPUs

Bei dieser Lücke handelt es sich um einen Bug in der Mikroarchitektur, mit dem man die Register des APIC - Advanced Programmable Interrupt Controllers nutzen kann, um Daten aus dem CPU-Caches zu lesen. Betroffen sind die neuen Intel Prozessoren der Generationen Ice Lake, Tiger Lake und Aller Lake (Core i-10000, i-11000, i-12000 sowie Xeon SP Gen 3). Allerdings benötigt man für den Zugriff Admin-Rechte.

Der Lücke wurde die CVE-2022-21233 zugeteilt. Intel hat schnell reagiert und stellt schon Microcode-Updates bereit - siehe Intel Security Advisory Intel-SA-00657.

AMD und ARM CPUs - SQUIP (Scheduler Queue Convention Side Channel) Seitenkanal Angriff

Bei den CPUs dieser beiden Hersteller handelt es sich um eine Lücke im Zusammenhang mit der Scheduler-Queue der Prozessorkerne in Kombination mit einem Seitenkanalangriff - ähnlich den Lücken vom Spectre-Type. Beim Angriff wird die Scheduler-Queue, die die anstehenden Befehle auf die einzelnen Cores des Prozessors verteilt, manipuliert. Betroffen sind davon AMD Prozessoren der Generation Zen 1, Zen 2 und Zen 3 sowie Apples M-Prozessoren. 

AMD liefert Informationen zu SQUIP im AMD Security Bulletin AMD-SB-1039 (Execution Unit Scheduler Contention Side-Channel Vulnerability on AMD Processors) mit einer Auflistung der betroffenen Prozessoren sowie weitere Informationen, wie man durch Änderungen am Code diese Lücke umgehen kann.