Per processori su un'ampia gamma di architetture Armv8-A (Cortex-A). la sua vulnerabilità unica agli attacchi side-channel che utilizzano algoritmi di elaborazione speculativa. La stessa ARM lo ha segnalato e ha fornito patch e guide per mitigare la vulnerabilità rilevata. Il pericolo non è così grande, ma non può essere trascurato, perché i processori basati sull'architettura ARM sono ovunque, il che rende il rischio di perdite inimmaginabile in termini di conseguenze.
La vulnerabilità rilevata dagli esperti di Google in architetture ARM aveva il nome in codice Straight-Line Speculation (SLS) e la designazione ufficiale CVE-2020-13844. Secondo ARM, la vulnerabilità SLS è una forma della vulnerabilità Spectre, che (insieme alla vulnerabilità Meltdown) è diventata ampiamente nota nel gennaio 2018. In altre parole, si tratta di una classica vulnerabilità nei meccanismi informatici speculativi con un attacco del canale laterale.
Il calcolo speculativo richiede l'elaborazione anticipata dei dati lungo diversi rami possibili, sebbene questi possano successivamente essere scartati in quanto non necessari. Gli attacchi side-channel consentono il furto di tali dati intermedi prima che vengano completamente distrutti. Di conseguenza, disponiamo di processori potenti e del rischio di perdita di dati.
L'attacco Straight-Line Speculation sui processori basati su ARM fa sì che il processore, ogni volta che si verifica un cambiamento nel flusso di istruzioni, passi all'esecuzione delle istruzioni trovate direttamente in memoria, invece di seguire le istruzioni nel nuovo flusso di istruzioni. Ovviamente questo non è lo scenario migliore per scegliere le istruzioni da eseguire, che potrebbero essere sfruttate da un attacker.
A suo merito, ARM non solo ha rilasciato linee guida per gli sviluppatori per evitare il rischio di perdite tramite l'attacco Straight-Line Speculation, ma ha anche fornito patch per i principali sistemi operativi come FreeBSD, OpenBSD, Trusted Firmware-A e OP-TEE, e rilasciato patch per i compilatori GCC e LLVM.
L'azienda ha inoltre precisato che l'utilizzo delle patch non influenzerà le prestazioni delle piattaforme ARM, come accaduto sulle piattaforme Intel compatibili x86 con il blocco delle vulnerabilità Spectre e Meltdown. Potremo però venirne a conoscenza da fonti terze, che ci forniranno un quadro oggettivo della nuova vulnerabilità.
Fonte: 3dnews.ru