Mõni aeg tagasi sai teatavaks Inteli protsessorite spekulatiivse arhitektuuri uus haavatavus, mida nimetati (LVI). Intelil on LVI ohtude kohta oma arvamus ja soovitused selle leevendamiseks. Teie enda versioon kaitsest selliste rünnakute eest insener Google'is. Kuid turvalisuse eest peate maksma, vähendades protsessori jõudlust keskmiselt 7%.
Varem märkisime, et LVI oht ei seisne mitte teadlaste avastatud spetsiifilises mehhanismis, vaid LVI külgkanali rünnaku põhimõttes, mida näidati esmakordselt. Nii avanes uus suund ähvardustele, mida keegi varem ei kahtlustanud (vähemalt avalikus ruumis sellest ei räägitud). Seetõttu seisneb Google’i spetsialisti Zola Bridgesi arenduse väärtus selles, et tema plaaster maandab LVI põhimõttel põhinevate uute tundmatutegi rünnakute ohtu.
Varem GNU Project Assembleris () on tehtud muudatusi, mis vähendavad LVI haavatavuse ohtu. Need muudatused koosnesid lisamisest LFENCE, mis kehtestas range jada mälupöördumiste vahel enne ja pärast barjääri. Plaastri testimine ühel Inteli Kaby Lake'i põlvkonna protsessoril näitas jõudluse langust kuni 22%.
Google'i arendaja pakkus välja oma plaastri, lisades LLVM-i kompilaatorikomplektile LFENCE juhised, ja nimetas kaitset SESES-iks (Spekulatiivse täitmise kõrvalmõjude summutamine). Tema pakutud kaitsevariant leevendab nii LVI kui ka muid sarnaseid ohte, näiteks Spectre V1/V4. SESES-i teostus võimaldab kompilaatoril lisada masinkoodi genereerimise ajal sobivatesse kohtadesse LFENCE juhiseid. Näiteks sisestage need iga mälust lugemise või mällu kirjutamise juhiste ette.
LFENCE käsud takistavad kõigi järgnevate käskude ennetamist, kuni eelmised mälulugemised on lõppenud. Ilmselgelt mõjutab see protsessorite jõudlust. Uurija leidis, et keskmiselt vähendas SESES-i kaitse kaitstud teegi abil ülesannete täitmise kiirust 7,1%. Tootlikkuse vähenemise vahemik oli antud juhul 4–23%. Teadlaste esialgne prognoos oli pessimistlikum, nõudes jõudluse kuni 19-kordset langust.
Allikas: 3dnews.ru