FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

高速数据传输的安全基础出现裂痕。CERT协调中心（CERT/CC）发布漏洞公告，详细披露了PCI Express（PCIe）6.0标准中三个规范级漏洞，这些漏洞主要影响其完整性及数据加密（IDE）机制。攻击者可利用这些漏洞，通过本地访问向安全数据流注入陈旧或损坏数据，可能危及关键系统的数据完整性。

IDE机制安全缺陷

PCIe IDE机制旨在为PCIe连接提供"链路级加密和数据完整性保护"，确保GPU、SSD和CPU等组件间传输的数据防篡改。但研究人员发现，在特定条件下，该协议无法正确验证接收数据的新鲜度。公告警告称："当攻击者在PCIe接口构造特定流量模式时，三个规范级漏洞可能导致系统处理陈旧或错误数据"。

三大漏洞详情

已确认的三个独立漏洞包括：

• CVE-2025-9612：完整性检查缺失导致"PCIe流量重排序，致使接收方处理陈旧数据"
• CVE-2025-9613：超时刷新机制不当使得"当攻击者注入带有匹配标签的数据包时，接收方会接受错误数据"
• CVE-2025-9614：流重新加密或刷新问题可能导致"接收方消费陈旧错误数据包"

攻击门槛与应对措施

虽然漏洞危害严重，但攻击门槛较高。攻击者无法通过互联网远程利用，必须获得"PCIe IDE接口的物理或底层访问权限"，这使得数据中心、高安全设施或可能突破物理安全的边缘计算环境成为主要风险场景。

PCI-SIG标准组织已迅速响应，发布名为"IDE TLP重排序增强"的工程变更草案（D-ECN），该补丁将纳入即将发布的PCIe基础规范7.0版及6.5、7.1等后续版本。对于现有硬件，修复方案依赖于固件更新："支持PCIe 5.0 IDE的硬件和固件供应商应实施这些修正，并采用更新的测试流程确保合规性"。

建议终端用户和管理员"及时安装系统或组件供应商提供的固件更新"，特别是在数据完整性至关重要的环境中。

参考来源：

Critical PCIe 6.0 Flaws Risk Secure Data Integrity via Stale Data Injection in IDE Mechanism

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）