Puentes de Zola de Google para el conjunto de compiladores LLVM, un parche con la implementación de la protección SESES (Supresión de efectos secundarios de ejecución especulativa), que ayuda a bloquear los ataques al mecanismo de ejecución especulativa en las CPU de Intel, como . El método de protección se implementa a nivel del compilador y se basa en la adición por parte del compilador al generar código máquina de instrucciones. , que se sustituyen antes de cada instrucción para leer de memoria o escribir en memoria, y también antes de la primera instrucción de bifurcación en el grupo de instrucciones que finaliza el bloque.
La instrucción LFENCE espera a que se confirmen todas las lecturas de memoria anteriores y evita la ejecución preventiva de instrucciones posteriores después de LFENCE antes de que se complete la confirmación. El uso de LFENCE conduce a una disminución significativa en el rendimiento, por lo que se propone que la protección se use en casos extremos para código especialmente crítico. Además de la protección total, el parche ofrece tres indicadores que le permiten desactivar de forma selectiva ciertos niveles de protección para reducir el impacto negativo en el rendimiento.
En las pruebas realizadas, el uso de la protección SESES para el paquete BoringSSL provocó una disminución de 14 veces en el número de operaciones realizadas por la biblioteca por segundo: el rendimiento de la versión de la biblioteca compilada con protección resultó ser solo del 7.1% en promedio de los indicadores de la versión desprotegida (el rango según la prueba es de 4% a 23%).
Para la comparación, anteriormente para GNU Assembler, el mecanismo que realiza la sustitución de LFENCE después de cada operación de carga de memoria y antes de algunas instrucciones de bifurcación mostró una disminución de rendimiento de aproximadamente 5 veces (22% del código sin protección). método de protección también и por los ingenieros de Intel, pero los resultados de las pruebas de rendimiento aún no se han publicado. Inicialmente, los investigadores que identificaron el ataque LVI predijeron una disminución del rendimiento de 2 a 19 veces al aplicar la protección completa.
Fuente: opennet.ru