Neue Spectre-Angriffsvarianten lassen AMD-, Intel- und Arm-Prozessoren offen [Aktualisiert]

Tiffany Garrett

Lenovo ThinkPad X13 AMD Quelle: Windows-Zentrale

Was du wissen musst

  • Vor drei Jahren versetzten Spectre-Angriffe Unternehmen wie Microsoft, AMD und Intel in Patching-Raserei.
  • Ein neues Forschungspapier postuliert, dass Spectre noch nicht damit fertig ist, Computer zu gefährden.
  • Das Papier zitiert, dass Spectre-Zähler auf Kosten der CPU-Leistung kommen.

Update 4. Mai 2021 um 9:15 Uhr ET: Ashish Venkat, ein Informatiker von der UVA, der dem Forschungspapier zugeschrieben wird, hat eine Stellungnahme als Reaktion auf Intels Reaktion auf die ursprüngliche Geschichte abgegeben.

„Uns sind diese Richtlinien von Intel bekannt, die Softwareentwicklern vorschlagen, Code so zu schreiben, dass er nicht anfällig für Seitenkanalangriffe ist. Hier ist ein Auszug aus dem Intel-Artikel -- 'Entwickler, die geheime Daten gegen Timing-Side-Channel-Methoden schützen möchten, sollten sicherstellen, dass ihre Codelaufzeit, Datenzugriffsmuster und Codezugriffsmuster unabhängig von geheimen Werten identisch sind.'



Natürlich stimmen wir darin überein, dass Software sicherer sein muss, und wir sind uns als Community einig, dass die zeitkonstante Programmierung ein wirksames Mittel ist, um Code zu schreiben, der gegen Seitenkanalangriffe unangreifbar ist. Die von uns entdeckte Schwachstelle liegt jedoch in der Hardware, und es ist wichtig, auch Prozessoren zu entwickeln, die gegen diese Angriffe sicher und widerstandsfähig sind.

Darüber hinaus ist die zeitkonstante Programmierung nicht nur im Hinblick auf den eigentlichen Programmieraufwand schwierig, sondern bringt auch einen hohen Performance-Overhead und erhebliche Herausforderungen bei der Bereitstellung im Zusammenhang mit dem Patchen aller sensiblen Software mit sich. Der Prozentsatz des Codes, der nach den Constant-Time-Prinzipien geschrieben wird, ist in der Tat recht gering. Sich darauf zu verlassen wäre gefährlich. Deshalb müssen wir die Hardware noch sichern.'

Roblox kein Download oder Installation

Die erste Antwort von Intel und der Originalartikel folgen unten:

Update 3. Mai 2021 um 16:05 Uhr ET: Intel hat die folgende Aussage gemacht.

'Intel hat den Bericht geprüft und die Forscher darüber informiert, dass bestehende Abschwächungen nicht umgangen wurden und dass dieses Szenario in unserer sichere Codieranleitung . Software, die unserer Anleitung folgt, verfügt bereits über Schutz vor zufälligen Kanälen, einschließlich des zufälligen uop-Cache-Kanals. Es sind keine neuen Abschwächungen oder Leitlinien erforderlich.'

Die Originalgeschichte finden Sie unten:

Forscher der University of Virginia und der University of California, San Diego, haben veröffentlichte ein Papier mit dem Titel 'I See Dead µops: Leaking Secrets via Intel/AMD Micro-Op Caches', in dem die neuesten Spectre-Angriffe untersucht werden und wie sich die Bedrohung, die sie darstellen, deutlich von denen vor drei Jahren unterscheidet (via PC-Spieler ).

Spectre nutzt und nutzt moderne CPU-Vorhersagetechniken, die auf Optimierung ausgelegt sind, aber Hackern die Möglichkeit geben, Schlüsseldaten zu lesen, wenn der Prozessor eine falsche Vorhersage macht. Die Forscher, die das oben genannte Forschungspapier veröffentlicht haben, nennen drei Hauptangriffe als Teil der aktuellen Welle von Spectre-Bedrohungen.

Aufgabenlisten-App für Windows

Das Problem bei der Bekämpfung dieser Angriffe besteht darin, dass die wichtigsten Gegenmaßnahmen darin bestehen, die Quelle der lesbaren Daten zu deaktivieren oder die oben genannten prädiktiven Techniken wie die spekulative Ausführung einzuschränken. Alle diese Lösungen würden die Leistung drastisch verlangsamen, da sie Schlüsselelemente der Optimierungsbemühungen bestehender Prozessoren aktiv zunichte machen würden.

Das vollständige Papier ist eine sehr technische Lektüre und schwer zu analysieren, wenn Sie mit der technischen Terminologie der Computersicherheit nicht auf dem neuesten Stand sind, aber das Wichtigste ist, dass die aufgelisteten Spectre-Bedrohungen einiges an Anstrengung und Engagement des Hackers erfordern require Teil, so dass sich der durchschnittliche PC-Benutzer wahrscheinlich nicht allzu viele Sorgen machen muss – vorerst. Hoffentlich gibt es am Horizont kein weiteres von Spectre angetriebenes Gerangel zum Schutz von PCs.