For noget tid siden blev det kendt om en ny sårbarhed i den spekulative arkitektur af Intel-processorer, som blev kaldt (LVI). Intel har sin egen mening om farerne ved LVI og anbefalinger til at afbøde den. Din egen version af beskyttelse mod sådanne angreb ingeniør hos Google. Men du skal betale for sikkerheden ved at reducere processorydelsen med i gennemsnit 7 %.
Vi bemærkede tidligere, at faren for LVI ikke ligger i den specifikke mekanisme, der blev opdaget af forskerne, men i selve princippet om LVI-sidekanalangrebet, som blev vist for første gang. Dermed blev der åbnet en ny retning for trusler, som ingen tidligere havde haft mistanke om (det blev i hvert fald ikke diskuteret i det offentlige rum). Derfor ligger værdien af udviklingen af Google-specialisten Zola Bridges i, at hans patch mindsker faren for selv ukendte nye angreb baseret på LVI-princippet.
Tidligere i GNU Project Assembler () der er foretaget ændringer, der reducerer risikoen for LVI-sårbarheden. Disse ændringer bestod i at tilføje LFENCE, som etablerede en streng rækkefølge mellem hukommelsesadgange før og efter barrieren. Test af patchen på en af Intels Kaby Lake-generationsprocessorer viste et ydelsesfald på op til 22%.
Google-udvikleren foreslog sin patch med tilføjelsen af LFENCE-instruktioner til LLVM-kompilersættet og kaldte beskyttelsen SESES (Speculative Execution Side Effect Suppression). Den beskyttelsesmulighed, han foreslog, afbøder både LVI-trusler og andre lignende, for eksempel Spectre V1/V4. SESES-implementeringen giver compileren mulighed for at tilføje LFENCE-instruktioner på passende steder under generering af maskinkode. Indsæt dem for eksempel før hver instruktion til at læse fra hukommelsen eller skrive til hukommelsen.
LFENCE-instruktioner forhindrer foregribelse af alle efterfølgende instruktioner, indtil tidligere hukommelseslæsninger er afsluttet. Dette påvirker naturligvis processorernes ydeevne. Forskeren fandt ud af, at SESES-beskyttelse i gennemsnit reducerede hastigheden for at fuldføre opgaver ved hjælp af det beskyttede bibliotek med 7,1 %. Omfanget af produktivitetsreduktion i dette tilfælde varierede fra 4 til 23 %. Forskernes oprindelige prognose var mere pessimistisk og krævede op til 19 gange et fald i ydeevnen.
Kilde: 3dnews.ru