不久前,人們發現了英特爾處理器推測架構中的一個新漏洞,該漏洞被稱為 (六六)。 英特爾對 LVI 的危險有自己的看法,並提出了緩解它的建議。 您自己的針對此類攻擊的防護版本 谷歌工程師。 但您必須為安全付出代價,因為處理器效能平均會降低 7%。
我們先前註意到,LVI 的危險並不在於研究人員發現的具體機制,而在於首次展示的 LVI 旁路攻擊的原理。 因此,為以前沒有人懷疑過的威脅開闢了一個新的方向(至少,這沒有在公共空間中討論過)。 因此,Google專家Zola Bridges開發的價值在於,他的補丁基於LVI原理減輕了甚至未知的新攻擊的危險。
以前在 GNU 專案彙編程式中 ()進行了一些更改,以降低 LVI 漏洞的風險。 這些變化包括添加 LFENCE,它在屏障之前和之後的記憶體存取之間建立了嚴格的順序。 在英特爾的 Kaby Lake 世代處理器之一上測試該修補程式顯示效能下降高達 22%。
谷歌開發人員提出了他的補丁,向 LLVM 編譯器集添加了 LFENCE 指令,並將這種保護稱為 SESES(推測執行副作用抑制)。 他提出的保護選項可以緩解 LVI 威脅和其他類似威脅,例如 Spectre V1/V4。 SESES 的實作允許編譯器在機器碼產生期間在適當的位置新增 LFENCE 指令。 例如,將它們插入到每個從記憶體讀取或寫入記憶體的指令之前。
LFENCE 指令可防止搶佔所有後續指令,直到先前的記憶體讀取完成為止。 顯然,這會影響處理器的效能。 研究人員發現,SESES 保護平均使使用受保護庫完成任務的速度降低了 7,1%。 在這種情況下,生產率下降的幅度為 4% 至 23%。 研究人員最初的預測更為悲觀,預計性能將下降 19 倍。
來源: 3dnews.ru