Google wuxuu muujinayaa ka faa'iideysiga nuglaanta Specter iyadoo la adeegsanayo JavaScript biraawsarka

Darkcrizt

Daqiiqado 4

Google ayaa daaha laga rogay dhowr maalmood ka hor noocyo kala duwan oo looga faa'iideysto taasoo muujineysa suurtagalnimada ka faa'iideysiga nuglaanta - ee fasalka 'Specter' markii lagu fulinayo lambarka JavaScript ee biraawsarka, iyada oo aan loo marin hababka amniga ee kor lagu daray.

Khasaarado ayaa loo isticmaali karaa si loo helo xusuusta nidaamka kaas oo ka baaraandegaya waxyaabaha ku jira webka tabta hadda. Si loo tijaabiyo hawlgallada ka faa'iideysiga, websaydhka loogu talagalay bogga qulqulaya ayaa la bilaabay isla markaana nambarka sharraxaya caqliga hawlgalka ayaa lagu dhejiyay GitHub.

Nooca la soo bandhigay waxaa loogu talagalay nidaamyada weerarka leh Qalabka Intel Core i7-6500U ee Linux iyo deegaanka Chrome 88, in kastoo aysan tani meesha ka saareynin in isbeddelo la sameyn karo si looga faa'iideysto deegaannada kale.

Qaabka hawlgalku kuma eka processor-rada Intel: kadib la qabsiga saxda ah, Ka faa'iideysiga ayaa la xaqiijiyay inuu ka shaqeynayo nidaamyo wata CPU-yada saddexaad, oo ay ku jiraan Apple M1 oo ku saleysan qaab dhismeedka ARM. Ka dib isbeddelo yar yar, ka faa'iideysiga ayaa sidoo kale ka shaqeeya nidaamyada kale ee hawlgalka iyo daalacayaasha kale ee ku saleysan mashiinka Chromium.

Jawiga ku saleysan nidaamka caadiga ah ee Chrome 88 iyo Intel Skylake, waxaan ku guuleysanay xog daadinta habraaca mas'uulka ka ah soo gudbinta waxyaabaha ku jira webka ee hadda kujira tabka (habka dhiibida) xawaare dhan 1 kilobyte ilbiriqsi. Intaa waxaa sii dheer, noocyo kale ayaa la soo saaray, tusaale ahaan, ka faa'iideysi u oggolaanaya, kharashka xasilloonida oo hoos u dhacday, si loo kordhiyo heerka daadashada ee 8kB / s markii la isticmaalayo waxqabadka. Hadda () saacadda oo sax ah 5 microseconds (0.005 milliseconds) ). Nooc kale ayaa sidoo kale la diyaariyey kaas oo ku shaqeynaya saacad sax ah oo ah hal millisekond, taas oo loo isticmaali karo in lagu abaabulo marin u helka xusuusta geeddi-socod kale iyadoo qiyaastii lagu qiyaasayo 60 baayt halkii labaad.

Nambarka demo ee la daabacay wuxuu ka kooban yahay saddex qaybood:

  • Qaybta koowaad kala shaandhee saacadda si loo qiyaaso waqtiga ordaya ee hawlgallada lagama maarmaanka u ah soo-celinta xogta ku hadhay khasnadda processor-ka iyada oo ay sabab u tahay fulinta mala-awaalka ah ee tilmaamaha processor-ka.
  • Qaybta labaad Wuxuu qeexayaa qaabka xusuusta ee la isticmaalay markii la qoondeeyay soo diyaarinta JavaScript.
  • Qaybta saddexaad wuxuu si toos ah uga faa'iideystaa u nuglaanta Specter si loo go'aamiyo nuxurka xusuusta habka hadda socda iyada oo ay sabab u tahay abuuritaanka shuruudo ku saabsan fulinta mala awaalka ah ee hawlgallada qaarkood, natiijadaas oo uu processor-ku iska tuuro ka dib marka la go'aamiyo saadaal ku fashilantay, laakiin raadadka fulinta ayaa lagu xalliyaa keydka la wadaago oo lagu soo celin karaa hababka lagu go'aaminayo waxyaabaha ku jira keydka iyadoo la adeegsanayo kanaallo dhinac saddexaad ah oo falanqeynaya isbeddelka waqtiga marin u helka xogta keydsan iyo kuwa aan kaydsan.

Farsamadii isticmaarka ee la soo jeediyey waxay tirtiraysaa saacadaha saxda ah waxaa laga heli karaa iyada oo loo marayo waxqabadka.now () API oo aan taageero u helin nooca 'SharedArrayBuffer', kaas oo kuu oggolaanaya inaad ku sameysato xarrago xusuusta la wadaago.

Faa'iidada waxaa ka mid ah qalabka 'Specter', oo sababa fulinta koodhka mala awaalka la xakameynayo, iyo falanqeeye qulqulka kanaalka, kaas oo go'aamiya xogta la keydiyay inta lagu guda jiro fulinta mala awaalka.

Qalabka waxaa lagu hirgeliyaa iyadoo la adeegsanayo jaantus JavaScript ah, taas oo isku day ayaa la sameeyay si loo galo aag ka baxsan xadka keydka, taas oo saameyn ku yeelata xaalada saadaasha laanta sababtoo ah joogitaanka jeega cabbirka xajmiga ee uu ku daray isku-darka (processor-ku wuxuu si mala-awaal ah u sameeyaa marin ka hor waqtiga, laakiin dib ayuu u celiyaa gobolka ka dib markuu hubiyo).

Si loo falanqeeyo waxyaabaha ku jira keydka ee xaaladaha saxda ah ee waqtiga saxda ah, hab ayaa loo soo jeediyay in lagu khiyaaneeyo istiraatiijiyadda ka saarida xogta Tree-PLRU ee loo adeegsado farsameeyayaasha loona oggolaado, iyadoo la kordhinayo tirada wareegyada, si weyn kor loogu qaado farqiga waqtiga marka qiimaha waxaa laga soo celiyey keydka iyo maqnaanshaha qiimaha keydka ku jira.

Google ayaa daabacday nooc ka mid ah ka faa'iideysiga si ay u muujiso suurtagalnimada weerarrada iyadoo la adeegsanayo dayacanka fasalka Specter iyo in lagu dhiirrigeliyo horumariyeyaasha shabakadaha inay adeegsadaan farsamooyin yareeya khataraha weerarrada noocaas ah.

Isla mar ahaantaana, Google waxay aaminsan tahay in iyada oo aan dib-u-eegis muhiim ah lagu samaynaynin nooca la soo jeediyay, aysan macquul ahayn in la abuuro ka faa'iideysiyo caalami ah oo diyaar u ah oo keliya muujinta, laakiin sidoo kale isticmaalka baahsan.

source: https://security.googleblog.com


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.