Atténuez les vulnérabilités de sécurité en empêchant les otérs d’appeler des e certes dans les applications Intel® Software Guard Extensions (Intel® SGX).
Impossible de trouver de la documentation sur les raisons pour lesquelles les e tsé par nid peuvent être nuisibles. Un e reste imbrié est lorsqu’un eîtr e ce qui appelle un oîtrœr et o ce qu’il appelle un e peul.
Le Guide des Intel® Software Guard Extensions (Intel® SGX) explique :
Vous devez savoir que lorsqu’un OS Est fabriqué, il ouvre la porte aux E 10 imbriés. Une fois à l’extérieur de l’enclave, un attaquant qui tente de trouver des vulnérabilités peut invoquer toute fonction d’interface ISV exposée en tant qu’E 10 pour appeler récursivement l’enclave. Lorsqu’un OS est nécessaire, vous pouvez réduire l’attaque de surface bloquant les fonctions d’interface ISV telles que les E 10 imbriquages ne sont pas autorisés. Par exemple, vous pouvez stocker les informations d’état (correspondant à l’OSL en cours) à l’intérieur de l’enclave. Cependant, une enclave ne peut pas être tributaire du fait que des ES imbriés se produisent dans un certain ordre au cours d’une OA. Dans un premier temps, les E Premières imbriées (ES pendant un OSL) sont autorisées et limitées uniquement par la quantité de pile réservée à l’intérieur de l’enclave. Cependant, les ISV doivent savoir que de telles constructions complexifient l’analyse de sécurité sur l’enclave. Lorsque survient le besoin de nids E Premières, l’enclave qui se présente devrait tenter de partitionner l’application d’une manière différente. Si l’EdI imbriée n’est pas possible, l’erdente enclave doit limiter les fonctions d’interface des ISV qui peuvent être appelées récursivement uniquement à celles strictement requises.
