Google'dan Zola Köprüleri LLVM derleyici seti için, Intel CPU'lardaki spekülatif yürütme mekanizmasına yönelik saldırıların engellenmesine yardımcı olan SESES (Spekülatif Yürütme Yan Etkilerini Bastırma) korumasının uygulanmasını içeren bir yama; . Koruma yöntemi derleyici düzeyinde uygulanır ve makine kodu oluşturulurken derleyici tarafından talimatlar eklenmesine dayanır. , her bellek okuma veya yazma talimatının önüne ve ayrıca bloğu sonlandıran talimat grubundaki ilk dallanma talimatının öncesine eklenir.
LFENCE talimatı, önceki tüm bellek okumalarının taahhüt edilmesini bekler ve taahhüt tamamlanana kadar LFENCE'den sonraki sonraki talimatların ön alımını devre dışı bırakır. LFENCE kullanımı performansta önemli bir düşüşe yol açar, bu nedenle korumanın özellikle kritik kodlar için aşırı durumlarda kullanılması önerilmektedir. Tam korumaya ek olarak yama, performans üzerindeki olumsuz etkiyi azaltmak için belirli koruma düzeylerini seçerek devre dışı bırakmanıza olanak tanıyan üç bayrak sunar.
Yapılan testlerde, BoringSSL paketi için SESES korumasının kullanılması, kütüphanenin saniyede gerçekleştirdiği işlem sayısında 14 kat azalmaya yol açtı; kütüphanenin korumalı sürümünün performansı, ortalama olarak, kütüphanenin korumalı versiyonunun performansı, korumasız versiyon (teste bağlı olarak %7.1'ten %4'e kadar değişiklik).
Karşılaştırma için, Daha önce, GNU Assembler için, her bellek yükleme işleminden sonra ve bazı dallanma talimatlarından önce LFENCE değişimi gerçekleştiren bir mekanizma, yaklaşık 5 kat performans düşüşü gösteriyordu (korumasız kodun %22'si). Koruma yöntemi de и Intel mühendisleri tarafından geliştirildi ancak performans testi sonuçları henüz yayınlanmadı. Başlangıçta LVI saldırısını tespit eden araştırmacılar, tam koruma uygulandığında performansta 2 ila 19 kat düşüş olacağını öngördü.
Kaynak: opennet.ru