【CVE-2024-7881】ARM CPU漏洞安全通告

已于 2025-04-20 21:03:48 修改
阅读量679 收藏 7
点赞数 7
分类专栏: TF-A/TEE/Hafnium/CCA之安全 文章标签: ARM安全架构 ARM安全中心 CVE-2024-7881 prefetch CPUACTLR6_EL1 KPTI ARM安全通告
于 2025-04-13 21:52:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuxiaochen99/article/details/147197753
版权

安全之安全(security²)博客目录导读

目录

一、概述

二、CVE详情

三、受影响产品

四、修复建议

五、致谢

六、版本历史

一、概述

基于Arm架构的部分CPU中发现一个安全问题:非特权上下文可能触发数据内存依赖型预取引擎(data memory-dependent prefetch engine),从而获取特权内存位置的内容(该位置本无读取权限),并将这些内容作为地址再次解引用。

需注意,此问题不影响虚拟机间及虚拟机与宿主机间的隔离保障。同样,在启用RME(Realm Management Extension)的配置中,预取器会严格遵守颗粒保护检查(GPC)规则。

二、CVE详情

非特权上下文可触发数据内存依赖型预取引擎获取特权内存位置内容,并将这些内容作为地址再次解引用。该问题被分

了解本专栏 订阅专栏 解锁全文
CVE-2024-10929】ARM CPU漏洞安全通告
卢鸿波-security²-安全二次方
04-14 871
在部分基于Arm架构的CPU中发现了一个潜在安全问题,称为Spectre-BSE(Branch Status Eviction,分支状态驱逐漏洞)。该漏洞可能使攻击者能够绕过现有保护措施,以较弱的形式控制受害者的分支历史记录。 Arm公司认为实际利用风险极低,因为攻击者需要首先找到可利用的泄露指令片段,控制相关寄存器,并且在初始化和利用阶段之间保持被操控的分支预测器状态不变。
CVE-2024-5660】ARM CPU漏洞:硬件页面聚合(HPA)安全通告
卢鸿波-security²-安全二次方
12-11 555
在一些基于armcpu中发现了一个问题,该问题可能允许修改的、不受信任的客户机操作系统(guest OS)危及某些Hypervisor环境中的主机,也就是说在虚拟化的场景下。
CVE-2024-2193 GHOSTRACE:Exploiting and Mitigating Speculative Race Conditions(推测竞争条件的利用和缓解)ARM安全中心
卢鸿波-security²-安全二次方
03-25 1259
2024年3月,一个研究小组发表了一篇名为《GhostRace: Exploiting and Mitigating Speculative Race Conditions》的论文。该论文演示了一种 Spectre v1 变体,利用内核中的“推测使用后释放(speculative use-after-free)漏洞”来推测性地劫持控制流,并泄露内核内存。这个变体已被分配了CVE-2024-2193编号。
ATF(TF-A)安全通告 TFV-6 (CVE-2017-5753, CVE-2017-5715, CVE-2017-5754)
卢鸿波-security²-安全二次方
08-09 900
ATF(TF-A)安全通告 TFV-6 (CVE-2017-5753, CVE-2017-5715, CVE-2017-5754)
​ATF(TF-A)安全通告 TFV-7 (CVE-2018-3639)​
卢鸿波-security²-安全二次方
08-11 1020
ATF(TF-A)安全通告 TFV-7 (CVE-2018-3639)​
CVE-2017-11882漏洞分析与利用
qq_36949907的博客
07-10 1770
(一次大作业,比较啰嗦 见谅) 漏洞介绍 2017年1114号,微软推送了常规的安全更新,其中就包括CVE-2017-11882的安全更新,当时还引起了不小的关注,之后Github上也公布了许多POC及对应的漏洞利用程序。 仅仅从CVE-2017-11882的漏洞利用效果来看,它可以通杀Office 2003到Office 2016的所有版本,并且整个攻击环境的构建非常简单,效果又非常的好。例如,有些攻击效果会出现弹框、CPU飙高、发生异常等等,而这个漏洞的利用效果,堪称“无色无味”,即整个过程几.
ATF(TF-A)安全通告 TFV-9 (CVE-2022-23960)
卢鸿波-security²-安全二次方
08-11 919
ATF(TF-A)安全通告 TFV-9 (CVE-2022-23960)
【工业安全-CVE-2022-40876- Tenda AX1803路由器 栈溢出漏洞
weixin_65311462的博客
02-13 928
文章目录1.漏洞描述2.环境搭建3.漏洞复现4.漏洞分析4.1:代码分析4.2:流量分析。
SMBGhost漏洞CVE2020-0796)简单分析
bluebloodye的专栏
06-26 2686
0x00 漏洞描述 3 月 10 日:微软发布安全通告 ADV200005,称 SMBv3 协议在处理某些请求的方式中存在代码执行漏洞,并提供了缓解措施。 3 月 12 日:微软正式发布 CVE-2020-0796 安全通告漏洞修复补丁。 CVE-2020-0796是Windows 10 1903/1909的新SMB3压缩功能中的错误。 SMB协议版本3.1.1引入了一种功能,即客户端或服务器可以发布压缩功能,并有选择地压缩SMB3消息。 使用此功能协商会话后,客户端或服务器可以选择..
cmd-bat-批处理-脚本-IE主页修改.zip
05-20
cmd-bat-批处理-脚本-IE主页修改.zip
Delphi 12.3控件之uniGUI-Extras-1.95.0.1600.rar
最新发布
05-20
Delphi 12.3控件之uniGUI-Extras_1.95.0.1600.rar
【数据库安全】MySQL中SQL注入攻击原理与防御措施:提升Web应用安全性设计在MySQL环境下SQL
05-20
内容概要:本文主要介绍了SQL注入的概念、危害及其防范措施。SQL注入是攻击者通过恶意构造输入,使服务器执行非预期的SQL命令的一种攻击方式,常因用户输入未
ORON1.SHX
05-20
使用方法:拷贝到Auto CAD的Fonts下
cmd-bat-批处理-脚本-维护版.zip
05-20
cmd-bat-批处理-脚本-维护版.zip
esp-idf-extension.vsix zip
05-20
解压
【数据库管理】MySQL命令大全:涵盖数据库与数据表操作及事务管理的常用指令集
05-20
内容概要:本文档为《mysql.docx》,主要汇总了MySQL的各类常用命令,分为基础命令、数据库相关命令、数据表相关命令和事务相关命令四大部分。基础命令涵盖了连接、创建、删除数据库,创建和删除表,插入、查询、更新、删除数据等基本操作;数据库相关命令则进一步细化了对数据库的管理操作,如修改编码格式、查看数据库详细信息等;数据表相关命令着重介绍了对表结构和数据的操作,包括创建、修改、删除表,添加、删除、修改列,创建和删除索引等;事务相关命令主要涉及事务的开始、提交、回滚,设置事务隔离级别,以及表的锁定与解锁操作。; 适合人群:适用于具有一定SQL基础,尤其是MySQL使用经验的数据库管理员或开发人员。; 使用场景及目标:①帮助用户快速查找并正确使用MySQL的各种命令;②提高用户对MySQL数据库的操作能力,包括但不限于数据库和表的创建、修改、删除,数据的增删改查等;③掌握MySQL事务处理机制,确保数据的一致性和完整性。; 其他说明:本文档是MySQL命令的集合,建议用户在实际操作前先熟悉各个命令的具体用法,并在测试环境中进行练习,避免误操作导致数据丢失或其他严重后果。
cmd-bat-批处理-脚本-交换两个变量的值而不使用临时变量.zip
05-20
cmd-bat-批处理-脚本-交换两个变量的值而不使用临时变量.zip
软件工程集成测试全流程解析:确保软件模块协同工作的关键方法与实践
05-20
内容概要:集成测试是确保软件质量的关键环节,它在单元测试基础上验证模块间的交互和协作。文章详细介绍了集成测试的目的、重要性、流程步骤、策略与方法以及常见问题的解决办法。集成测试不仅验证模块接口的正确性,还确保系统的整体功能和性能符合预期。文章通过一个电商系统的实际案例,展示了集成测试在发现和解决问题中的具体应用。最后,展望了集成测试未来的发展趋势,如自动化测试、云计算、大数据和人工智能技术的应用。 适合人群:软件开发人员、测试工程师、项目经理及相关技术人员。 使用场景及目标:①了解集成测试在整个软件开发生命周期中的作用和重要性;②掌握集成测试的详细流程,包括测试计划制定、环境搭建、用例设计、执行与记录、缺陷管理和回归测试、测试总结与报告;③学习集成测试的不同策略(自顶向下、自底向上、混合策略)和方法(黑盒测试、白盒测试、模拟测试),并理解其适用场景;④掌握常见问题(接口不匹配、数据传递错误、性能瓶颈)的解决办法。 其他说明:本文不仅提供了集成测试的理论知识,还结合实际案例进行详细讲解,帮助读者更好地理解和应用集成测试技术。未来集成测试将受益于自动化测试、云计算、大数据和人工智能技术的发展,测试人员应不断学习新技术,优化测试流程,提高软件质量和效率。
cmd脚本-bat批处理-快速设定分辨率.zip
05-20
cmd脚本-bat批处理-快速设定分辨率.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安全二次方

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值