Група истраживача са америчких, аустралијских и израелских универзитета описао нову технику напада што омогућава искоришћавање рањивости Класа савршенства у прегледачима на Цхромиум-у.
Напад под кодним именом Споок.јс, омогућава приликом извршавања ЈаваСцрипт кода заобилажење механизма изолације веб локације и читање садржаја читавог адресног простора текућег процеса, односно приступ подацима страница које се извршавају на другим картицама, али које се обрађују у истом процесу.
Пошто Цхроме покреће различите веб локације у различитим процесима, практични напади су ограничени на услуге које омогућавају различитим корисницима да хостују њихове странице. Метода напада Споок.јс омогућава са странице на коју нападач може да угради свој ЈаваСцрипт код, утврдити присуство других страница које је отворио корисник истог сајта и извући поверљиве информације од њих, на пример, акредитиви или банковни подаци замењени системом за аутоматско довршавање у веб обрасцима.
Друга примена методе је напад на додатке за прегледач, који омогућава, када је инсталиран додатак који контролише нападач, да извуче податке из других додатака.
Споок.јс је применљив на било који прегледач заснован на Цхромиум машини, укључујући Гоогле Цхроме, Мицрософт Едге и Браве. Истраживачи такође верују да се метода може прилагодити за рад са Фирефок -ом, али пошто се Фирефок мотор веома разликује од Цхроме -а, рад на стварању таквог експлоатата остављен је будућности.
За заштиту од напада повезаних са спекулативним извршавањем инструкција путем претраживача, сегментација адресног простора имплементирана је у Цхромеу: изолација сандбок-а омогућава ЈаваСцрипт-у да ради само са 32-битним показивачима и дели меморију контролера у непреклапајућим стековима од 4 ГБ.
Да би организовали приступ целом адресном простору процеса и избегли 32-битно ограничење, истраживачи су користили технику забуне типа, која омогућава ЈаваСцрипт машини да обради објекат погрешног типа, омогућавајући формирање 64-битног код заснован на комбинацији две 32-битне вредности.
Суштина напада је у томе што се обрадом посебно израђеног злонамерног објекта у ЈаваСцрипт машини стварају услови који доводе до спекулативног извршавања инструкција које приступају низу. Објекат је одабран на такав начин да се поља која контролишу нападачи постављају у подручје где се користи 64-битни показивач.
Пошто врста злонамерног објекта не одговара типу низа који се обрађује, под нормалним условима такве радње су блокиране у Цхромеу помоћу механизма за деоптимизацију кода који се користи за приступ низовима. Да би решио овај проблем, код напада Цонфусион типа се ставља у условни блок "иф", који се не покреће у нормалним условима, већ ради у спекулативном режиму, ако процесор погрешно предвиди више грана.
Као резултат тога, процесор спекулативно приступа генерисаном 64-битном показивачу и враћа стање након утврђивања неуспешног предвиђања, али се трагови извршења постављају у дељеној кеш меморији и могу се вратити помоћу метода за одређивање садржаја кеша кроз трећи- партијским каналима, анализирајући промену у времену приступа кешираним и подацима који нису кеширани.
Да би се анализирао садржај кеша у условима недовољне прецизности тајмера доступног у ЈаваСцрипт-у, користи се метода коју је предложио Гоогле и која вара стратегију исељавања Трее-ПЛРУ кеш података која се користи у процесорима и омогућава, повећавајући број циклуса, да значајно повећати временску разлику у присуству и одсуству вредности у кешу.
Истраживачи су објавили прототип експлоатације који ради у Цхроме 89 ен системима са Интел и7-6700К и и7-7600У. Експлоатација је настала коришћењем прототипова ЈаваСцрипт кода који је претходно објавио Гоогле за извођење Спецтре напада.
Коначно, истраживачи то напомињу успео је да припреми радне подвиге за системе засноване на процесорима Интел и Аппле М1, којима је дата могућност да организују читање меморије брзином од 500 бајтова у секунди и тачношћу од 96%. Метод би требало да буде применљив на АМД процесорима, али није било могуће припремити потпуно функционалан експлоататор.
izvor: https://www.spookjs.com