Naar inhoud springen

Hertzbleed

Uit Wikipedia, de vrije encyclopedie
Hertzbleed logo
Niet te verwarren met Heartbleed.

Hertzbleed of de Hertzbleed aanval is de naam van een theoretische aanval op moderne x86 computerprocessoren van onder andere Intel en AMD, waarbij informatie geëxtraheerd kan worden uit processorkernen.[1][2] De aanval beschrijft hoe informatie over de kloksnelheden en energiemodi kennis kan vrijgeven over de inhoud van lopende processen op de computer, zoals cryptografie.[3] De aanval kan zo ingezet worden om cryptografiesleutels "uit te lezen" door processen die normaliter geen toegang zouden kunnen krijgen tot deze data. CVE-nummers CVE-2022-23823[4] en CVE-2022-24436[5] zijn toegewezen aan de aanval.

De aanval is op 14 juni 2022 gepubliceerd door beveiligingsonderzoekers Yinchen Wang, Riccardo Paccagnella, Elizabeth Tang He, Havav Shacham, Christopher Fletcher en David Kohlbrenner via een speciaal in het leven geroepen website en logo. De onderzoekers hebben een paper[6] gepubliceerd die gepland staat om uit te komen in de 31e editie van de USENIX Security Symposium. Daarnaast is er een Proof-of-Concept gepubliceerd die een aanval op het SIKE-algoritme om beveiligingssleutels te extraheren.

De aanval is in het derde kwartaal van 2021 gedeeld met hardware- en softwarefabrikanten Intel, Cloudflare en Microsoft en later ook met AMD, waarna deze voortijdig hun infrastructuur hebben kunnen voorzien van patches en maatregelen.

  • Heartbleed - Een beveiligingslek in een populaire SSL-softwarebibliotheek.