英特爾Spectre漏洞僅靠軟件無法解決
責編:gltian |2019-02-28 13:44:36谷歌安全研究人員已經分析了導致數據泄露的Spectre漏洞對現今瀏覽器內核造成的影響,得出的結論是無法依靠單一軟件阻止漏洞被利用。另一家廠商表明他們可以構建一個被稱為通用小工具的程序利用系統中存在的預測功能缺陷,通用小工具允許攻擊者在線程中運行代碼,用于讀取同地址空間中的所有內存。
例如,在Web瀏覽器線程中執行的惡意代碼可能會對運行在同進程中另一個線程內的JavaScript進行重新編碼,并從該頁面竊取機密數據。上述問題在瀏覽器中已經有了一些新解決方法,比如場地隔離使其在單獨進程中保持一致,這限制了惡意JavaScript窺探內容。至少,火狐、IE和Edge阻止使用新對象SharedArrayBuffer,它可以被利用來執行更高的性能。但是,對于所有瀏覽器和其他應用程序解釋攻擊者提供的代碼來說,仍存在潛在的威脅。進程中基于語言和類似的安全措施不能停止;使用基于硬件的隔離,可通過各自的虛擬地址空間和硬件執行的列表來實現。
威脅亦或是炒作?
由于攻擊者與其他用戶提供的代碼在同一地址空間中解釋的情況并不多,因此主要考慮網絡瀏覽器:谷歌研究主要是學術性的,而絕非毫無根據的內容。但是,若團隊正在開發的是基于云環境的外部代碼,客戶們的線程共享相同進程,這就非常值得注意。
研究人員在標題為“幽靈所到之處:針對旁路和預測性行為的研究”中提到:
我們現在認為,今天的硬件上的預測性漏洞會破壞所有語言強制的機密性,而目前已知軟件沒有能夠解決面臨的困境,因為我們發現不受信任的代碼可以構建一個通用小工具,通過旁路讀取同一地址空間中的所有內存。
2018年1月幽靈被首次報道之后不久,密歇根大學計算機科學教授助理丹尼爾·格金(Daniel Genkin)也曾表示:
我們目前還沒有找到有效的對策來消除幽靈,這將成為硬件無法重新設計的根本原因。
顧名思義,幽靈是涉及利用預測執行功能的。這是現代處理器的一個特征,它猜測程序的未來路徑,并在處理器忙于其他任務時完成估算。如若猜到了正確的路徑,則保留計算,從而節省時間并加快代碼執行。但正如幽靈的缺陷所表明的那樣,未來該功能可能被濫用。
有幾種幽靈變種,但基本問題是芯片設計師交換安全性換取速度所引發的。研究人員觀察到:研究時的心理預期模型是有誤的;一直以來他們在用安全換取性能和復雜性,卻忘記了這一點。幽靈變種4:預測性混亂,谷歌研究人員至今未找到的相應軟件解決方案。研究人員甚至表示:變種4使他們能想到的每條對策都變得毫無意義。
最初,軟件和硬件制造商推動修復。瀏覽器制造商谷歌降低時序數據的可訪問性,讓預測性攻擊變得更加困難。但這似乎是徒勞的。
我們認為,通過操縱計時器來減少計時通道是不可能實現的,無論如何最終都會弄巧成拙。
谷歌在公司Chrome瀏覽器的JavaScript虛擬機中增加了對 “反代碼” 的防御功能,并發現性能上的損失十分令人失望,因為它們減緩了速度而沒有真正解決問題。
這些產品中沒有提供針對幽靈的全面防護,因此減緩空間存儲是種無奈之下的防護權衡方案。
這就是為什么谷歌將其瀏覽器安全中心轉移到上述場地隔離的原因。但是,改善方案也必須來自硬件,其形式是更好的進程隔離。英特爾于2018年3月公布了部分潛在漏洞的硬件修復程序,但它聲稱幽靈變種1“將繼續通過軟件解決”,現在看起來這相當值得懷疑。
2018年1月關于幽靈相關報道地址:
https://www.theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability/