Prieš kurį laiką buvo žinoma apie naują Intel procesorių spekuliacinės architektūros pažeidžiamumą, kuris buvo vadinamas (LVI). „Intel“ turi savo nuomonę apie LVI keliamus pavojus ir rekomendacijas, kaip ją sumažinti. Jūsų pačių apsaugos nuo tokių atakų versija „Google“ inžinierius. Tačiau už saugumą teks mokėti sumažinus procesoriaus našumą vidutiniškai 7%.
Anksčiau pažymėjome, kad LVI pavojus slypi ne tyrėjų atrastame specifiniame mechanizme, o pačiame pirmą kartą parodytame LVI šoninio kanalo atakos principe. Taip atsivėrė nauja kryptis grasinimams, kurių iki tol niekas neįtarė (bent jau viešoje erdvėje apie tai nebuvo kalbama). Todėl Google specialisto Zola Bridges kūrimo vertė slypi tame, kad jo pleistras sumažina net nežinomų naujų atakų pavojų LVI principu.
Anksčiau GNU Project Assembler () buvo atlikti pakeitimai, mažinantys LVI pažeidžiamumo riziką. Šiuos pakeitimus sudarė pridėjimas LFENCE, kuri nustatė griežtą seką tarp atminties prieigos prieš ir po barjero. Išbandžius pleistrą viename iš Intel Kaby Lake kartos procesorių, našumas sumažėjo iki 22%.
„Google“ kūrėjas pasiūlė savo pataisą, pridėdamas LFENCE instrukcijas prie LLVM kompiliatoriaus rinkinio, ir pavadino apsaugą SESES (spekulatyvaus vykdymo šalutinio poveikio slopinimas). Jo pasiūlytas apsaugos variantas sumažina tiek LVI, tiek kitas panašias grėsmes, pavyzdžiui, Spectre V1/V4. SESES diegimas leidžia kompiliatoriui pridėti LFENCE instrukcijas atitinkamose vietose generuojant mašininį kodą. Pavyzdžiui, įterpkite juos prieš kiekvieną nurodymą, kaip skaityti iš atminties arba rašyti į atmintį.
LFENCE instrukcijos neleidžia iš anksto atlikti visų vėlesnių komandų, kol ankstesni atminties nuskaitymai nebus baigti. Akivaizdu, kad tai turi įtakos procesorių našumui. Tyrėjas nustatė, kad SESES apsauga užduočių atlikimo greitį naudojant apsaugotą biblioteką sumažino vidutiniškai 7,1%. Produktyvumo sumažėjimo diapazonas šiuo atveju svyravo nuo 4 iki 23%. Pradinė tyrėjų prognozė buvo pesimistiškesnė, ragindama našumą sumažinti iki 19 kartų.
Šaltinis: 3dnews.ru