Jembatan Zola dari Google untuk set kompiler LLVM, tambalan dengan implementasi perlindungan SESES (Speculative Execution Side Effect Suppression), yang membantu memblokir serangan pada mekanisme eksekusi spekulatif di CPU Intel, seperti . Metode perlindungan diimplementasikan pada tingkat kompiler dan didasarkan pada penambahan oleh kompiler saat membuat kode instruksi mesin , yang diganti sebelum setiap instruksi untuk membaca dari memori atau menulis ke memori, dan juga sebelum instruksi cabang pertama dalam grup instruksi yang mengakhiri blok.
Instruksi LFENCE menunggu semua pembacaan memori sebelumnya dilakukan dan mencegah eksekusi preemptive dari instruksi selanjutnya setelah LFENCE sebelum komit selesai. Penggunaan LFENCE menyebabkan penurunan kinerja yang signifikan, sehingga perlindungan diusulkan untuk digunakan dalam kasus ekstrim untuk kode yang sangat kritis. Selain perlindungan penuh, tambalan menawarkan tiga tanda yang memungkinkan Anda menonaktifkan tingkat perlindungan tertentu secara selektif untuk mengurangi dampak negatif pada kinerja.
Dalam pengujian yang dilakukan, penggunaan perlindungan SESES untuk paket BoringSSL menyebabkan penurunan jumlah operasi yang dilakukan oleh perpustakaan per detik sebanyak 14 kali - kinerja versi perpustakaan yang dikompilasi dengan perlindungan ternyata hanya 7.1% pada rata-rata dari indikator versi yang tidak terlindungi (kisaran tergantung pada pengujian adalah dari 4% hingga 23% ).
Untuk perbandingan, sebelumnya untuk GNU Assembler, mekanisme yang melakukan substitusi LFENCE setelah setiap operasi pemuatan memori dan sebelum beberapa instruksi cabang menunjukkan penurunan kinerja sekitar 5 kali (22% kode tanpa perlindungan). metode perlindungan juga ΠΈ oleh para insinyur Intel, tetapi hasil pengujian kinerjanya belum dipublikasikan. Awalnya, para peneliti yang mengidentifikasi serangan LVI memperkirakan penurunan kinerja 2 hingga 19 kali lipat saat menerapkan perlindungan penuh.
Sumber: opennet.ru