Zola Ponti da Google per il set di compilatori LLVM, una patch con l'implementazione della protezione SESES (Speculative Execution Side Effect Suppression), che aiuta a bloccare gli attacchi al meccanismo di esecuzione speculativa nelle CPU Intel, come . Il metodo di protezione Γ¨ implementato a livello di compilatore e si basa sull'aggiunta di istruzioni da parte del compilatore durante la generazione del codice macchina , che vengono inserite prima di ogni istruzione di lettura o scrittura della memoria, nonchΓ© prima della prima istruzione di salto nel gruppo di istruzioni che termina il blocco.
L'istruzione LFENCE attende il commit di tutte le letture precedenti della memoria e disabilita la prelazione delle istruzioni successive dopo LFENCE fino al completamento del commit. L'uso di LFENCE porta ad una significativa diminuzione delle prestazioni, quindi si propone di utilizzare la protezione in casi estremi per codice particolarmente critico. Oltre alla protezione completa, la patch offre tre flag che consentono di disabilitare selettivamente determinati livelli di protezione per ridurre l'impatto negativo sulle prestazioni.
Nei test condotti, l'uso della protezione SESES per il pacchetto BoringSSL ha portato a una riduzione di 14 volte del numero di operazioni al secondo eseguite dalla libreria: le prestazioni della versione protetta della libreria erano in media solo del 7.1% rispetto a quelle versione non protetta (variazione a seconda del test dal 4% al 23%).
Per confronto, In precedenza, per GNU Assembler, un meccanismo che esegue la sostituzione LFENCE dopo ogni operazione di caricamento della memoria e prima di alcune istruzioni di salto mostrava un calo di prestazioni di circa 5 volte (22% del codice senza protezione). Anche il metodo di protezione lo Γ¨ ΠΈ dagli ingegneri Intel, ma i risultati dei test sulle prestazioni non sono ancora stati pubblicati. Inizialmente, i ricercatori che hanno identificato lβattacco LVI avevano previsto un calo delle prestazioni da 2 a 19 volte quando si applicava la protezione completa.
Fonte: opennet.ru