Bir süre önce Intel işlemcilerin spekülatif mimarisinde yeni bir güvenlik açığı olduğu öğrenildi. (LVI). Intel'in LVI'nın tehlikeleri ve bunu hafifletmeye yönelik tavsiyeleri hakkında kendi görüşleri var. Bu tür saldırılara karşı kendi koruma sürümünüz Google'da mühendis. Ancak işlemci performansını ortalama %7 azaltarak güvenlik için ödeme yapmanız gerekecek.
Daha önce LVI tehlikesinin araştırmacılar tarafından keşfedilen spesifik mekanizmada değil, ilk kez gösterilen LVI yan kanal saldırısının ilkesinde yattığını belirtmiştik. Böylece daha önce kimsenin şüphelenmediği (en azından kamusal alanda tartışılmayan) tehditlere karşı yeni bir yön açıldı. Bu nedenle, Google uzmanı Zola Bridges'in geliştirilmesinin değeri, yamasının LVI ilkesine dayalı bilinmeyen yeni saldırıların tehlikesini bile azaltmasında yatmaktadır.
Daha önce GNU Project Assembler'da () LVI güvenlik açığı riskini azaltan değişiklikler yapıldı. Bu değişiklikler eklemelerden oluşuyordu: LFENCE, bariyerden önceki ve sonraki hafıza erişimleri arasında katı bir sıra oluşturdu. Yamayı Intel'in Kaby Lake nesil işlemcilerinden birinde test etmek, %22'ye varan performans düşüşü gösterdi.
Google geliştiricisi, LLVM derleyici setine LFENCE talimatlarının eklenmesiyle yamasını önerdi ve korumayı SESES (Spekülatif Yürütme Yan Etki Bastırma) olarak adlandırdı. Önerdiği koruma seçeneği hem LVI tehditlerini hem de Spectre V1/V4 gibi diğer benzer tehditleri hafifletiyor. SESES uygulaması, derleyicinin makine kodu üretimi sırasında uygun konumlara LFENCE talimatlarını eklemesine olanak tanır. Örneğin, bunları bellekten okumak veya belleğe yazmak için her talimatın önüne ekleyin.
LFENCE komutları, önceki bellek okumaları tamamlanana kadar sonraki tüm talimatların önceden alınmasını önler. Açıkçası bu durum işlemcilerin performansını etkiliyor. Araştırmacı, SESES korumasının, korunan kitaplığı kullanarak görevleri tamamlama hızını ortalama %7,1 oranında azalttığını buldu. Bu durumda üretkenlik azalması aralığı %4 ile %23 arasında değişiyordu. Araştırmacıların ilk tahmini daha kötümserdi ve performansta 19 kata kadar bir düşüş öngörülüyordu.
Kaynak: 3dnews.ru