Voor processors op een breed scala aan Armv8-A (Cortex-A) architecturen
De kwetsbaarheid die door Google-experts op het gebied van ARM-architecturen werd gevonden, kreeg de codenaam Straight-Line Speculation (SLS) en werd officieel CVE-2020-13844 genoemd. Volgens ARM is de SLS-kwetsbaarheid een vorm van de Spectre-kwetsbaarheid, die (samen met de Meltdown-kwetsbaarheid) in januari 2018 algemeen bekend werd. Met andere woorden: dit is een klassieke kwetsbaarheid in speculatieve computermechanismen met een zijkanaalaanval.
Speculatief computergebruik vereist het vooraf verwerken van gegevens langs verschillende mogelijke takken, hoewel deze later als onnodig kunnen worden verworpen. Via zijkanaalaanvallen kunnen dergelijke tussentijdse gegevens worden gestolen voordat deze volledig worden vernietigd. Als gevolg hiervan hebben we krachtige processors en bestaat het risico op datalekken.
De Straight-Line Speculation-aanval op ARM-gebaseerde processors zorgt ervoor dat de processor, telkens wanneer er een verandering in de instructiestroom plaatsvindt, overschakelt naar het uitvoeren van instructies die rechtstreeks in het geheugen worden gevonden, in plaats van de instructies in de nieuwe instructiestroom te volgen. Het is duidelijk dat dit niet het beste scenario is voor het kiezen van uit te voeren instructies, die door een aanvaller kunnen worden uitgebuit.
Het is zijn verdienste dat ARM niet alleen richtlijnen voor ontwikkelaars heeft vrijgegeven om het risico van lekkage via de Straight-Line Speculation-aanval te helpen voorkomen, maar ook patches heeft geleverd voor grote besturingssystemen zoals FreeBSD, OpenBSD, Trusted Firmware-A en OP-TEE. en patches uitgebracht voor de GCC- en LLVM-compilers.
Het bedrijf verklaarde ook dat het gebruik van patches de prestaties van ARM-platforms niet zal beïnvloeden, zoals gebeurde op x86-compatibele Intel-platforms waarbij de Spectre- en Meltdown-kwetsbaarheden geblokkeerd waren. We zullen hierover echter kunnen leren van externe bronnen, wat een objectief beeld zal geven van de nieuwe kwetsbaarheid.
Bron: 3dnews.ru