Zola Bridges de Google para o conxunto de compiladores LLVM, un parche coa implementación da protección SESES (Speculative Execution Side Effect Suppression), que axuda a bloquear ataques ao mecanismo de execución especulativa nas CPU Intel, como . O método de protección implícase a nivel do compilador e baséase na adición do compilador ao xerar o código máquina de instrucións , que se substitúen antes de cada instrución para ler da memoria ou escribir na memoria, e tamén antes da primeira instrución de ramal do grupo de instrucións que remata o bloque.
A instrución LFENCE agarda a que todas as lecturas de memoria anteriores sexan confirmadas e impide a execución preventiva de instrucións posteriores despois de LFENCE antes de que se complete a confirmación. O uso de LFENCE leva a unha diminución significativa do rendemento, polo que se propón que a protección se use en casos extremos para códigos especialmente críticos. Ademais da protección total, o parche ofrece tres bandeiras que che permiten desactivar selectivamente certos niveis de protección para reducir o impacto negativo no rendemento.
Nas probas realizadas, o uso da protección SESES para o paquete BoringSSL levou a unha diminución do número de operacións realizadas pola biblioteca por segundo por 14 veces - o rendemento da versión da biblioteca compilada con protección resultou ser só do 7.1% en probas realizadas. media dos indicadores da versión non protexida (o rango dependendo da proba é do 4% ao 23%).
Para comparación, anteriormente para GNU Assembler, o mecanismo que realiza a substitución de LFENCE despois de cada operación de carga de memoria e antes dalgunhas instrucións de rama mostraba unha diminución do rendemento dunhas 5 veces (22% do código sen protección). método de protección tamén и polos enxeñeiros de Intel, pero aínda non se publicaron os resultados das probas de rendemento. Inicialmente, os investigadores que identificaron o ataque LVI predixeron unha diminución do rendemento de 2 a 19 veces ao aplicar a protección total.
Fonte: opennet.ru