5 月 25 日消息，西工大官方宣布，該校網絡空間安全學院胡偉教授團隊在 RISC-V SonicBOOM 處理器設計中挖掘出中危漏洞，并得到國家計算機網絡與應急技術處理協調中心（CNCERT）點名。

據介紹，這是國內首個自主挖掘的 RISC-V 處理器設計上可遠程利用的中危漏洞，也是國內首個處理器硬件安全領域國家重點研發計劃項目 —— 納米級芯片硬件綜合安全評估關鍵技術研究的重要進展。

西工大表示，當前的熔斷類、幽靈類處理器安全漏洞大多在觸發瞬態執行后的信息恢復階段采用 Cache 側信道攻擊泄露信息。此次發現的端口爭用漏洞可以替代 Cache 側信道攻擊，作為一種新型側信道攻擊方式。端口爭用漏洞可以結合不同的瞬態執行機制構成新型處理器安全漏洞。攻擊者利用漏洞能夠繞過現代處理器和操作系統設計的安全保護機制，無需管理員權限即可遠程竊取受保護的敏感信息，造成關鍵數據和個人隱私泄露。這次在 RISC-V SonicBOOM 處理器上挖掘出寄存器端口爭用漏洞在漏洞危害程度、評分值和可利用性上均超過國內漏洞數據庫已收錄的同類漏洞。

查詢發現，截至 2022 年末，我國大約有 50 款不同型號的國產 RISC-V 芯片投入量產，在工業控制、電源管理、無線連接、存儲控制、物聯網等嵌入式場景被廣泛應用，而且正在向自動駕駛、人工智能、通信和數據等領域快速拓展。