在2017 年被影響現代Intel、AMD 和ARM 處理器的“幽靈”（Spectre）和“熔毀”（Meltdown）側信道攻擊漏洞給震驚之後，現又有安全研究人員曝光了利用CPU 提頻（Boost Frequencies）來竊取加密密鑰的更高級漏洞—— 它就是Hertzbleed 。

（來自：Hertzbleed網站）

該攻擊通過監視任何加密工作負載的功率簽名（power signature）側信道漏洞而實現，與CPU 中的其它因素一樣，處理器功率會因工作負載的變化而有所調整。

但在觀察到此功率信息之後，Hertzbleed 攻擊者可將之轉換為計時數據（timing data），進而竊取用戶進程的加密密鑰。

● 目前Intel 和AMD均已公佈易受Heartzbleed 漏洞攻擊影響的系統，可知其影響Intel 全系和AMD Zen 2 / Zen 3 處理器。

● 前者被分配了Intel-SA-00698 和CVE-2022-24436 這兩個漏洞ID，後者則是CVE-2022-23823 。

原理示意（圖自：Intel網站）

更糟糕的是，攻擊者無需物理訪問設備、即可遠程利用Hertzbleed 漏洞。

之後兩家芯片公司將提供基於微碼的修補緩解措施，以防止此類漏洞被攻擊者繼續利用。

略為慶幸的是，英特爾聲稱此類攻擊在實驗室研究之外並不那麼實用，因為據說竊取加密密鑰需耗費數小時到數天。

至於漏洞補丁可能造成的CPU 性能損失，還是取決於具體的應用場景。