Nemrég ismertté vált az Intel processzorok spekulatív architektúrájának egy új sebezhetősége, amelyet ún (LVI). Az Intelnek megvan a saját véleménye az LVI veszélyeiről, és ajánlásai vannak annak enyhítésére. Az ilyen támadások elleni védelem saját verziója mérnök a Google-nál. A biztonságért azonban fizetnie kell a processzor teljesítményének átlagosan 7%-os csökkentésével.
Korábban megjegyeztük, hogy az LVI veszélye nem a kutatók által feltárt sajátos mechanizmusban rejlik, hanem az LVI oldalsó csatornás támadás elvét, amelyet először mutattak meg. Így új irány nyílt a fenyegetések előtt, amelyeket korábban senki sem sejtett (legalábbis erről nem esett szó a közterületen). A Google specialista Zola Bridges fejlesztésének értéke tehát abban rejlik, hogy foltja az LVI elv alapján mérsékli az ismeretlen új támadások veszélyét is.
Korábban a GNU Project Assemblerben () olyan változtatások történtek, amelyek csökkentik az LVI sebezhetőségének kockázatát. Ezek a változtatások a hozzáadásból álltak LFENCE, amely szigorú sorrendet állított fel a memóriaelérések között a sorompó előtt és után. A javítás tesztelése az Intel egyik Kaby Lake generációs processzorán akár 22%-os teljesítménycsökkenést is mutatott.
A Google fejlesztője az LFENCE utasítások hozzáadásával javasolta a javítást az LLVM fordítókészlethez, és a védelmet SESES-nek (Speculative Execution Side Effect Suppression) nevezte el. Az általa javasolt védelmi lehetőség mind az LVI, mind a többi hasonló fenyegetést mérsékli, például a Spectre V1/V4. A SESES megvalósítás lehetővé teszi, hogy a fordító LFENCE utasításokat adjon hozzá a megfelelő helyekre a gépi kód generálása során. Például illessze be őket a memóriából való olvasáshoz vagy a memóriába íráshoz minden utasítás elé.
Az LFENCE utasítások megakadályozzák az összes következő utasítás elővételét, amíg az előző memóriaolvasás be nem fejeződik. Nyilvánvalóan ez befolyásolja a processzorok teljesítményét. A kutató azt találta, hogy a SESES védelem átlagosan 7,1%-kal csökkentette a feladatok végrehajtásának sebességét a védett könyvtár használatával. A termelékenység csökkenés mértéke ebben az esetben 4 és 23% között mozgott. A kutatók kezdeti előrejelzése pesszimistább volt, és akár 19-szeres teljesítménycsökkenést követelt.
Forrás: 3dnews.ru