Zola Bridges van Google voor de LLVM-compilerset, een patch met de implementatie van SESES-bescherming (Speculative Execution Side Effect Suppression), die aanvallen op het speculatieve uitvoeringsmechanisme in Intel CPU's helpt blokkeren, zoals . De beveiligingsmethode wordt geïmplementeerd op compilerniveau en is gebaseerd op het toevoegen van instructies door de compiler bij het genereren van machinecode , die worden ingevoegd vóór elke geheugenlees- of schrijfinstructie, evenals vóór de eerste vertakkingsinstructie in de groep instructies die het blok beëindigt.
De LFENCE-instructie wacht tot alle eerdere geheugenlezingen zijn vastgelegd en schakelt voorrang op volgende instructies na LFENCE uit totdat de commit is voltooid. Het gebruik van LFENCE leidt tot een aanzienlijke prestatievermindering, daarom wordt voorgesteld om in extreme gevallen bescherming te gebruiken voor bijzonder kritische code. Naast volledige bescherming biedt de patch drie vlaggen waarmee u selectief bepaalde beschermingsniveaus kunt uitschakelen om de negatieve impact op de prestaties te verminderen.
In de uitgevoerde tests leidde het gebruik van SESES-bescherming voor het BoringSSL-pakket tot een veertienvoudige vermindering van het aantal bewerkingen per seconde dat door de bibliotheek werd uitgevoerd - de prestaties van de beschermde versie van de bibliotheek waren gemiddeld slechts 14% van die van de bibliotheek. onbeschermde versie (variatie afhankelijk van de test van 7.1% tot 4%).
Ter vergelijking, Voorheen vertoonde een mechanisme dat LFENCE-substitutie uitvoert na elke geheugenlaadbewerking en vóór sommige vertakkingsinstructies voor GNU Assembler een prestatievermindering van ongeveer 5 keer (22% van de code zonder bescherming). De beschermingsmethode is dat ook и door Intel-ingenieurs, maar de prestatietestresultaten ervan zijn nog niet gepubliceerd. Aanvankelijk voorspelden de onderzoekers die de LVI-aanval identificeerden een prestatievermindering van twee tot negentien keer bij toepassing van volledige bescherming.
Bron: opennet.ru