Для процесорів на широкому спектрі архітектур Armv8-A (Cortex-A) своя унікальна вразливість для атаки побічними каналами з використанням спекулятивних алгоритмів обчислень. Про це повідомила сама ARM і надала патчі та посібники для пом'якшення знайденої вразливості. Небезпека не така велика, але нехтувати нею не можна, адже процесори на архітектурі ARM є скрізь, що робить ризик витоків неймовірним за наслідками.
Знайдена фахівцями Google уразливість в архітектурах ARM отримала кодову назву Straight-Line Speculation (SLS) та офіційне позначення CVE-2020-13844. За словами ARM, уразливість SLS ― це одна з форм уразливості Spectre, про яку (разом із вразливістю Meltdown) стало широко відомо у січні 2018 року. Інакше кажучи, це класична вразливість у механізмах спекулятивного обчислення з атакою на бічні (побічні) канали.
Спекулятивні обчислення вимагають обробляти дані заздалегідь по кількох можливих гілках, хоча вони можуть бути відкинуті як непотрібні. Атаки по побічним каналам дозволяють красти такі проміжні дані до повного знищення. В результаті ми маємо продуктивні процесори та ризик витоку даних.
Атака Straight-Line Speculation на процесори з архітектурою ARM змушує процесор щоразу після зміни у потоці команд переходити виконання інструкцій, знайдених у пам'яті, замість того, щоб дотримуватися інструкціям у новому потоці команд. Очевидно, це не найкращий сценарій вибору інструкцій для виконання, аніж може скористатися зловмисник.
На честь ARM, вона не тільки випустила керівництво для розробників, яке допоможе уникнути ризику витоку через атаку на Straight-Line Speculation, але також надала патчі для основних операційних систем, наприклад, для FreeBSD, OpenBSD, Trusted Firmware-A та OP-TEE та випустила патчі для компіляторів GCC та LLVM.
Також у компанії заявили, що застосування патчів не позначиться на продуктивності ARM-платформ, як це сталося на x86-сумісних платформах Intel із блокуванням уразливостей Spectre та Meltdown. Втім, про це ми зможемо дізнатися від джерел, що дасть об'єктивну картину про нову вразливість.
Джерело: 3dnews.ru