Защитата от хардуерната уязвимост Spectre е невъзможна на ниво софтуер
Експертите на Гугъл публично обявиха, че отбраната от потреблението на хардуерната накърнимост Spectre, засягаща редица модерни процесори, е невъзможна с помощта единствено на програмен продукт.
Специалистите на интернет колоса оповестиха, че могат да основат универсално устройство, което може да се употребява за експлоатиране на уязвимостта Spectre в другите процесорни семейства. С негова помощ стартираният в потока вредоносен код може да чете предпазената памет, в която се съхраняват паролите, данните за онлайн банкирането и така нататък Възможно е интегрираният във вредоносна уеб страница JavaScript код, изпълняван в процеса на браузъра, да следи JavaScript кода на друга уеб страница, стартирана в различен поток, в която се вкарват да вземем за пример пароли и данни за онлайн банкиране. По този метод с лекост може да се похищава и най-чувствителната информация.
В браузърите към този момент е планувана отбрана от сходни офанзиви. В Chrome да вземем за пример, е вградена изолираност на уеб уеб страниците, разпределяща обособената уеб страница към разнообразни процеси. Firefox, Internet Explorer и Edge блокират потреблението на JavaScript обекта SharedArrayBuffer, който може да се употребява за кражба на данни посредством уязвимостта Spectre. Но опасността от Spectre си остава настояща за другите приложения.
Според специалистите на Гугъл, отбраната от потреблението на Spectre, вградена в другите програмни езици, не могат да обезпечат сигурността на потребителите. Разделянето на процесите би трябвало да стане на хардуерно равнище по подобен метод, че всеки развой да има лично виртуално адресно пространство и лични таблици на странирането на паметта.
Ситуациите, при която хакерският код може да попадне в едно и също адресно пространство с кода на потребителя, не са доста. Това се отнася най-вече до браузърите, в които софтуерната отбрана към този момент е оценена. Но експертите към този момент единствено теоретично са основали хипотетично хардуерно устройство, което може да се възползва от Spectre, на процедура без значение от употребяваната в атакувания компютър процесорна фамилия.
„Ние сме уверени, че спекулативните уязвимости в актуалния хардуер обезсмислят ограниченията за обезпечаване на конфиденциалността, осъществени на равнище програмни езици. Не съществуват способи за пълноценна отбрана от хардуерните уязвимости благодарение на софтуерни методи“ – подчертаха специалистите на интернет колоса.
Специалистите на интернет колоса оповестиха, че могат да основат универсално устройство, което може да се употребява за експлоатиране на уязвимостта Spectre в другите процесорни семейства. С негова помощ стартираният в потока вредоносен код може да чете предпазената памет, в която се съхраняват паролите, данните за онлайн банкирането и така нататък Възможно е интегрираният във вредоносна уеб страница JavaScript код, изпълняван в процеса на браузъра, да следи JavaScript кода на друга уеб страница, стартирана в различен поток, в която се вкарват да вземем за пример пароли и данни за онлайн банкиране. По този метод с лекост може да се похищава и най-чувствителната информация.
В браузърите към този момент е планувана отбрана от сходни офанзиви. В Chrome да вземем за пример, е вградена изолираност на уеб уеб страниците, разпределяща обособената уеб страница към разнообразни процеси. Firefox, Internet Explorer и Edge блокират потреблението на JavaScript обекта SharedArrayBuffer, който може да се употребява за кражба на данни посредством уязвимостта Spectre. Но опасността от Spectre си остава настояща за другите приложения.
Според специалистите на Гугъл, отбраната от потреблението на Spectre, вградена в другите програмни езици, не могат да обезпечат сигурността на потребителите. Разделянето на процесите би трябвало да стане на хардуерно равнище по подобен метод, че всеки развой да има лично виртуално адресно пространство и лични таблици на странирането на паметта.
Ситуациите, при която хакерският код може да попадне в едно и също адресно пространство с кода на потребителя, не са доста. Това се отнася най-вече до браузърите, в които софтуерната отбрана към този момент е оценена. Но експертите към този момент единствено теоретично са основали хипотетично хардуерно устройство, което може да се възползва от Spectre, на процедура без значение от употребяваната в атакувания компютър процесорна фамилия.
„Ние сме уверени, че спекулативните уязвимости в актуалния хардуер обезсмислят ограниченията за обезпечаване на конфиденциалността, осъществени на равнище програмни езици. Не съществуват способи за пълноценна отбрана от хардуерните уязвимости благодарение на софтуерни методи“ – подчертаха специалистите на интернет колоса.
Източник: kaldata.com
КОМЕНТАРИ