Mae tîm o ymchwilwyr o Vrije Universiteit Amsterdam wedi nodi nifer o wendidau newydd dosbarth Spectre-v2, a gyhoeddwyd o dan yr enw cod Training Solo, sy'n caniatáu osgoi mecanweithiau ynysu cof. Yng nghyd-destun systemau rhithwiroli, mae gwendidau yn ei gwneud hi'n bosibl pennu cynnwys cof amgylchedd y gwesteiwr o systemau gwadd, ac yng nghyd-destun gweinyddion, pennu cynnwys cof y cnewyllyn wrth weithredu ecsbloetiad mewn gofod defnyddiwr. Cyhoeddir enghreifftiau o gamfanteision ar gyfer cynnal ymosodiadau o'r fath ar GitHub. Mae'r manteision a gyflwynir yn caniatáu echdynnu data mympwyol o gof y cnewyllyn ar gyflymder o 17 KB/eiliad, ac o gof yr hypervisor ar 8.5 KB/eiliad.
Mae ymosodiadau Spectre-v2 yn defnyddio amnewid gwerthoedd i'r Branch Target Buffer neu'r Branch History Buffer i ragweld y gweithrediad cangen nesaf i ollwng data. Drwy drin hanes trawsnewidiadau, crëir amodau ar gyfer rhagfynegi trawsnewidiad yn anghywir yn ystod gweithredu cyfarwyddiadau ar sail dyfalu. Nod yr ymosodwr yw sicrhau, wrth gyflawni gweithrediad canghennu dyfaluol, bod y cyfeiriad ar gyfer y naid yn cael ei gymryd o'r ardal cof a ddymunir. Ar ôl perfformio naid ddyfalu, mae'r cyfeiriad naid a ddarllenwyd o'r cof yn aros yn storfa'r prosesydd (dan gochl cyfeiriad, mae'r data sydd ei angen ar yr ymosodwr yn cael ei ddarllen o'r cof). I echdynnu gwybodaeth o'r storfa, gellir defnyddio un o'r dulliau ar gyfer pennu cynnwys y storfa yn seiliedig ar ddadansoddi newidiadau yn yr amser mynediad i ddata wedi'i storio yn y storfa a data heb ei storio yn y storfa.
Mae dulliau ymosod Training Solo wedi'u cynllunio i osgoi mecanweithiau ynysu parthau fel IBPB, eIBRS, a BHI_NO a ddefnyddir i rwystro ymosodiadau Spectre-v2. Er enghraifft, mae'r cyfarwyddyd IBPB (Rhwystrau Rhagfynegi Cangen Anuniongyrchol) yn sicrhau bod cyflwr y bloc rhagfynegi cangen yn cael ei ailosod ym mhob newid cyd-destun—pan drosglwyddir rheolaeth rhwng gofod defnyddiwr a'r cnewyllyn neu rhwng y system westai a'r amgylchedd gwesteiwr. Mae ailosod y cyflwr yn analluogi'r gallu i ddefnyddio cod personol i ddylanwadu ar ymddygiad y bloc rhagfynegi cangen anuniongyrchol.
Y gwahaniaeth rhwng y dulliau Training Solo yw, er mwyn dylanwadu ar y bloc rhagfynegi cangen, y bwriedir peidio â lansio cod sydd wedi'i reoli gan yr ymosodwr, ond defnyddio cod sydd eisoes yn bodoli ar ochr yr ardal weithredu freintiedig (cnewyllyn neu hypervisor), y mae'r ymosodwr yn ceisio gollwng ohono. Fel arall, mae'r dulliau'n atgoffa rhywun o'r ymosodiad clasurol Spectre-v2. Yn ogystal, nododd yr ymchwilwyr ddau broblem caledwedd (CVE-2024-28956 a CVE-2025-24495) sy'n caniatáu osgoi ynysu rhanbarth gweithredu yn llwyr a gollyngiadau o brosesau defnyddwyr eraill, systemau gwadd eraill, neu'r amgylchedd gwesteiwr.

Mae tri math o ymosodiadau Hyfforddi Unigol:
- Ystumio rhesymeg rhagfynegi cangen trwy alw dilyniannau o orchmynion (gadgets) sydd eisoes yn bodoli yn y cnewyllyn ac yn effeithio ar gynnwys byffer hanes y gangen. Fel teclynnau o'r fath, cynigir defnyddio'r mecanwaith o gyfyngu mynediad i alwadau system SECCOMP, sy'n caniatáu, trwy amnewid ei hidlwyr BPF, i gyflawni trosglwyddiad anuniongyrchol ffug mewn modd dyfalu (mae hidlwyr yn SECCOMP wedi'u gosod gan ddefnyddio'r cBPF clasurol, wedi'i alluogi yn ddiofyn, yn wahanol i eBPF). Pan gafodd ei brofi ar CPUau Intel Tiger Lake a Lion Cove, roedd y gyfradd gollyngiadau gan ddefnyddio'r dull hwn yn 1.7KB/eiliad.
- Defnyddio gwrthdrawiadau IP (Pwyntydd Cyfarwyddiadau) yn y bloc rhagfynegi cangen. Gall ymosodwr greu amodau lle bydd y cyfeiriad ar gyfer naid ddyfalu yn cael ei ddewis yn seiliedig ar y cyfeiriad naid sydd eisoes yn y byffer yn unig, heb ystyried hanes y neidiau. Y syniad yw y gall un gweithrediad cangen anuniongyrchol effeithio ar un arall os bydd gwrthdrawiad yn digwydd wrth storio hashiau eu cyfeiriadau yn y BTB (Branch Target Buffer).
- Defnyddio dylanwad canghennau uniongyrchol i ragweld canghennau anuniongyrchol. Mae'r ymddygiad hwn yn cael ei achosi gan ddau wendid caledwedd: CVE-2024-28956 — ITS (Dewis Targed Anuniongyrchol) a CVE-2025-24495 — problem mewn CPUau Intel gyda chreiddiau Lion Cove. Roedd y gyfradd gollyngiad cof gan ddefnyddio'r dull hwn yn 17 KB/eiliad. Yn yr ecsbloet a ddangoswyd, cymerodd 60 eiliad i bennu hash cyfrinair y defnyddiwr gwreiddiol a oedd wedi'i storio yn y cof ar ôl galw'r gorchymyn "passwd -s".

Атаке, искажающей буфер с историей переходов, подвержены все CPU Intel, имеющие поддержку механизма eIBRS, включая CPU Intel Coffee Lake и Lion Cove. Для блокировки уязвимости компания Intel выпустила обновление микрокода с реализацией новой инструкции IBHF (Indirect Branch History Fence), которую предлагается указывать после кода, влияющего на буфер истории переходов. Для старых CPU Intel предложено использовать программный метод очистки истории переходов. В ядро Linux принято изменение, добавляющее программную и аппаратную amddiffyniad rhag ymosodiadau, a gynhaliwyd gan ddefnyddio cBPF. Nododd AMD nad yw'r dull ymosod yn effeithiol yn erbyn ei CPUs. Nododd ARM mai dim ond proseswyr ARM hŷn sy'n agored i ymosodiadau Spectre-v2 ac nad ydynt yn cefnogi'r estyniadau FEAT_CSV2_3 a FEAT_CLRBHB y mae'r broblem yn effeithio arnynt.
Уязвимость Indirect Target Selection (ITS, CVE-2024-28956) затрагивает CPU Intel Core 9-11 поколений (Cascade Lake, Cooper Lake, Whiskey Lake V, Coffee Lake R, Comet Lake, Ice Lake, Tiger Lake и Rocket Lake) и Intel Xeon 2-3 поколений. Уязвимость CVE-2025-24495 проявляется в CPU на базе микроархитектур Lunar Lake и Arrow Lake. Проблемы устранены во вчерашнем обновлении микрокода. В ядро Linux принято изменение, блокирующее проблему через вынос косвенных переходов в верхнюю часть строки кэша.
Ffynhonnell: opennet.ru
