0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

超过40款高通芯片存在“旁路漏洞”,该漏洞可被用来窃取芯片内所储存的机密信息

cMdW_icsmart 来源:ZF 2019-04-30 14:22 次阅读

4月28日消息,近日英国安全机构NCC Group公布了一则重磅消息:超过40款高通芯片存在“旁路漏洞”,该漏洞可被用来窃取芯片内所储存的机密信息,并波及采用相关芯片的Android手机等相关装置。不过,在本月初,高通已经修补了去年就得知的这一漏洞。

根据高通安全公告,这一编号为CVE-2018-11976的漏洞,涉及高通芯片安全执行环境(Qualcomm Secure Execution Environment,QSEE)的椭圆曲线数码签章算法(Elliptic Curve Digital Signature Algorithm,ECDSA),将允许黑客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥。

它被高通列为重大漏洞,而且影响超过40款的高通芯片,可能波及多达数十亿台的Android手机及设备。

QSEE源自于Arm的TrustZone设计,TrustZone为系统单晶片的安全核心,它建立了一个隔离的安全世界来供可靠软件与机密资料使用,而其它软件则只能在一般的世界中执行,QSEE即是高通根据TrustZone所打造的安全执行环境。

虽然,NCC Group早在去年就发现了此一漏洞,并于去年3月通知了高通,但是高通却一直到今年4月才正式修补,并于近日被正式曝光。

值得注意的是,去年英特尔AMD、Arm Cortrex系列芯片被接连爆出存在多项安全漏洞,虽然此后各家都推出了修补的补丁,但这并不代表之后就不会有类似的事件发生。当时,ARM负责人也对外表示,没有绝对也安全,芯片漏洞可能再次发生。



声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 芯片
    +关注

    关注

    453

    文章

    50406

    浏览量

    421829
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15358

原文标题:超过40款高通芯片被曝出安全漏洞,波及数十亿部手机!

文章出处:【微信号:icsmart,微信公众号:芯智讯】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    常见的漏洞分享

    #SPF邮件伪造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 发现spf最后面跟着~all,代表有
    的头像 发表于 11-21 15:39 48次阅读
    常见的<b class='flag-5'>漏洞</b>分享

    通警告64芯片存在“零日漏洞”风险

    近日,通公司发布了一项重要的安全警告,指出其多达64芯片组中存在一项潜在的严重“零日漏洞”,编号为CVE-2024-43047。这一
    的头像 发表于 10-14 15:48 2339次阅读

    漏洞扫描的主要功能是什么

    漏洞扫描是一种网络安全技术,用于识别计算机系统、网络或应用程序中的安全漏洞。这些漏洞可能被恶意用户利用来获取未授权访问、数据泄露或其他形式的攻击。
    的头像 发表于 09-25 10:25 313次阅读

    内核程序漏洞介绍

    电子发烧友网站提供《内核程序漏洞介绍.pdf》资料免费下载
    发表于 08-12 09:38 0次下载

    苹果修复旧iPhone和iPad内核零日漏洞

    此次更新的漏洞追踪编号为CVE-2024-23296,存在于RTKit实时操作系统。据了解,已有证据显示漏洞已被黑客用于进行攻击,通过内核读写功能可绕过内存保护机制。
    的头像 发表于 05-14 14:06 501次阅读

    微软确认4月Windows Server安全更新存在漏洞,或致域控问题

    微软于昨日公告,承认其 4 月份发布的 Windows Server 安全补丁存在漏洞漏洞可能导致 LSASS 进程崩溃,进一步引发域控制器的启动问题。
    的头像 发表于 05-09 16:07 628次阅读

    GitHub存在高危漏洞,黑客可利用进行恶意软件分发

    据悉,漏洞允许用户在不存在的GitHub评论中上传文件并创建下载链接,包括仓库名和所有者信息。这种伪装可能使受害者误以为文件为合法资源。
    的头像 发表于 04-23 14:36 638次阅读

    D-Link NAS设备存在严重漏洞,易受攻击者注入任意命令攻击

    问题源于URL处理软件中的CGI脚本段“/cgi-bin/ nas_sharing. CGI”,其对HTTPGET请求的处理过程存在漏洞漏洞
    的头像 发表于 04-08 10:28 813次阅读

    苹果iOS快捷指令应用存在漏洞,已获修复

    这个名为CVE-2024-23204的漏洞严重程度达到7.5分(满分10分),通过利用“扩展URL”功能,规避苹果的TCC访问控制系统,进而窃取用户的照片、联系人和文件甚至复制板内容等重要信息。通过Flask程序,黑客可获取并保
    的头像 发表于 02-23 10:19 701次阅读

    Windows事件日志查看器存在零日漏洞

    弗洛里安指出,漏洞无需高级用户权限即可通过Windows 10设备使域控制器的日志服务失效。AcrosSecurity经过验证发现此漏洞同时适用于Windows 11系统,且仅需约1秒即可造成主系统崩溃
    的头像 发表于 02-02 14:29 516次阅读

    苹果承认GPU存在安全漏洞

    苹果公司近日确认,部分设备中的图形处理器存在名为“LeftoverLocals”的安全漏洞。这一漏洞可能影响由苹果、通、AMD和Imagination制造的多种图形处理器。根据报告,
    的头像 发表于 01-18 14:26 637次阅读

    POC管理和漏洞扫描小工具

    本工具是采用javafx编写,使用sqllite进行poc储存的poc管理和漏洞扫描集成化工具。主要功能是poc管理,并且采用多线程进行漏洞扫描。
    的头像 发表于 01-09 11:01 744次阅读
    POC管理和<b class='flag-5'>漏洞</b>扫描小工具

    再获认可,聚铭网络入选国家信息安全漏洞库(CNNVD)技术支撑单位

    近日,国家信息安全漏洞库(CNNVD)公示2023年度新增技术支撑单位名单。经考核评定,聚铭网络正式入选并被授予《国家信息安全漏洞库(CNNVD)三级技术支撑单位证书》。     国家
    的头像 发表于 12-21 10:14 606次阅读
    再获认可,聚铭网络入选国家<b class='flag-5'>信息</b>安全<b class='flag-5'>漏洞</b>库(CNNVD)技术支撑单位

    开源漏洞共享平台及安全奖励计划正式发布

    12月16日,在2023开放原子开发者大会开幕式上,开源漏洞共享平台及安全奖励计划正式发布。开放原子开源基金会秘书长冯冠霖、开源安全委员会副主席任旭东、开源漏洞信息共享项目工作委员会主席卢列文,以及
    的头像 发表于 12-17 15:50 1045次阅读
    开源<b class='flag-5'>漏洞</b>共享平台及安全奖励计划正式发布

    如何消除内存安全漏洞

    “MSL 可以消除内存安全漏洞。因此,过渡到 MSL 可能会大大降低投资于旨在减少这些漏洞或将其影响降至最低的活动的必要性。
    发表于 12-12 10:29 712次阅读
    如何消除内存安全<b class='flag-5'>漏洞</b>