Před časem se vešlo ve známost o nové zranitelnosti ve spekulativní architektuře procesorů Intel, která byla tzv (LVI). Intel má svůj vlastní názor na nebezpečí LVI a doporučení pro jeho zmírnění. Vaše vlastní verze ochrany proti takovým útokům inženýr ve společnosti Google. Za zabezpečení si ale budete muset zaplatit snížením výkonu procesoru v průměru o 7 %.
Již dříve jsme poznamenali, že nebezpečí LVI nespočívá ve specifickém mechanismu objeveném výzkumníky, ale v samotném principu útoku postranním kanálem LVI, který byl ukázán poprvé. Otevřel se tak nový směr hrozbám, které dříve nikdo netušil (alespoň se o tom ve veřejném prostoru nemluvilo). Hodnota vývoje Google specialisty Zola Bridgese proto spočívá v tom, že jeho patch zmírňuje nebezpečí i neznámých nových útoků založených na principu LVI.
Dříve v GNU Project Assembler () byly provedeny změny, které snižují riziko zranitelnosti LVI. Tyto změny spočívaly v přidání LFENCE, který stanovil přísnou sekvenci mezi přístupy do paměti před a za bariérou. Testování opravy na jednom z procesorů generace Kaby Lake od Intelu ukázalo snížení výkonu až o 22 %.
Vývojář Google navrhl svůj patch s přidáním instrukcí LFENCE do sady kompilátoru LLVM a nazval ochranu SESES (Speculative Execution Side Effect Suppression). Možnost ochrany, kterou navrhl, zmírňuje jak hrozby LVI, tak další podobné hrozby, například Spectre V1/V4. Implementace SESES umožňuje kompilátoru přidávat instrukce LFENCE na vhodná místa během generování strojového kódu. Vložte je například před každou instrukci pro čtení z paměti nebo zápis do paměti.
Instrukce LFENCE zabraňují preempci všech následujících instrukcí, dokud se nedokončí předchozí čtení paměti. To samozřejmě ovlivňuje výkon procesorů. Výzkumník zjistil, že ochrana SESES snížila rychlost dokončování úkolů pomocí chráněné knihovny v průměru o 7,1 %. Rozsah snížení produktivity se v tomto případě pohyboval od 4 do 23 %. Původní prognóza výzkumníků byla pesimističtější a volala po až 19násobném snížení výkonu.
Zdroj: 3dnews.ru