不久前,人们发现了英特尔处理器推测架构中的一个新漏洞,该漏洞被称为 (六六)。 英特尔对 LVI 的危险有自己的看法,并提出了缓解它的建议。 您自己的针对此类攻击的防护版本 谷歌工程师。 但您必须为安全付出代价,因为处理器性能平均会降低 7%。
我们之前注意到,LVI 的危险并不在于研究人员发现的具体机制,而在于首次展示的 LVI 旁路攻击的原理。 因此,为以前没有人怀疑过的威胁开辟了一个新的方向(至少,这没有在公共空间中讨论过)。 因此,谷歌专家Zola Bridges开发的价值在于,他的补丁基于LVI原理减轻了甚至未知的新攻击的危险。
以前在 GNU 项目汇编程序中 ()进行了一些更改,以降低 LVI 漏洞的风险。 这些变化包括添加 LFENCE,它在屏障之前和之后的内存访问之间建立了严格的顺序。 在英特尔的 Kaby Lake 一代处理器之一上测试该补丁显示性能下降高达 22%。
谷歌开发人员提出了他的补丁,向 LLVM 编译器集添加了 LFENCE 指令,并将这种保护称为 SESES(推测执行副作用抑制)。 他提出的保护选项可以缓解 LVI 威胁和其他类似威胁,例如 Spectre V1/V4。 SESES 的实现允许编译器在机器代码生成期间在适当的位置添加 LFENCE 指令。 例如,将它们插入到每条从内存读取或写入内存的指令之前。
LFENCE 指令可防止抢占所有后续指令,直到先前的内存读取完成为止。 显然,这会影响处理器的性能。 研究人员发现,SESES 保护平均使使用受保护库完成任务的速度降低了 7,1%。 在这种情况下,生产率下降的幅度为 4% 至 23%。 研究人员最初的预测更为悲观,要求性能下降最多 19 倍。
来源: 3dnews.ru