Изследователи от Тексаския университет, Университета на Илинойс и Университета на Вашингтон са открили нова, критична дупка в сигурността, която засяга всички съвременни процесори. Уязвимостта получи наименованието Hertzbleed и е класифицирана под номера CVE-2022-24436 (за Intel) и CVE-2022-23823 (за AMD). Атаката се извършва по странични канали и позволява на недоброжелатели, от разстояние да откраднат криптографски ключове, като наблюдават вариации в честотата на процесора, активирани от динамично напрежение и честота на мащабиране (DVFS). За оптимизиране консумацията на енергия и предотвратяване прегряването, CPU динамично и автоматично променят своята работна честота, като по този начин променя своята производителност. Hertzbleed позволява чрез изчисляване на типичното време на изпълнение на инструкциите да бъдат прочетени криптиращите ключове. Недоброжелателят просто подава запитвания, включващи най-различни инструкции, като измерва времето на тяхното изпълнение.
Intel и AMD са били информирани за пробойната още през третото тримесечие на 2021 година. Други процесори като ARM, които използват функцията за мащабиране на честотата, също са потенциално засегнати, но още текат тестове.
Вече има разработена защита срещу Hertzbleed, която променя масово използваните криптиращи алгоритми, но намалява производителността с от 5 до 11%. Обновленията с тази цел вече се разпространяват.
Като алтернативна защита може да се премахнат режимите Turbo Boost, Turbo Core и Precision Boost, но това ще доведе до драстично намаляване на производителността.
Експлоатирането на Hertzbleed е с висока сложност, но сорс кодовете с реализация на потенциална атака са публикувани достъпно в GitHub. Затова няма да е изненада занапред подобни атаки да се увеличат.
