Google ṣe afihan iṣawakiri ti awọn ailagbara Specter nipa lilo JavaScript ninu ẹrọ lilọ kiri ayelujara kan

Ti ṣafihan Google orisirisi awọn ọjọ seyin orisirisi awọn apẹrẹ awọn ohun elo ti o ṣe afihan iṣeeṣe ti lilo awọn ipalara ti kilasi Specter nigbati o n ṣe koodu JavaScript ninu ẹrọ aṣawakiri kan, laisi lilọ nipasẹ awọn ọna aabo ti a ṣafikun loke.

A le lo awọn ilokulo lati wọle si iranti ti ilana kan eyiti o n ṣe akoonu akoonu wẹẹbu ninu taabu lọwọlọwọ. Lati ṣe idanwo iṣẹ ti lo nilokulo, oju opo wẹẹbu fun oju-iwe jo ti wa ni igbekale ati koodu ti n ṣalaye ọgbọn iṣe ti firanṣẹ lori GitHub

Afọwọkọ ti a dabaa jẹ apẹrẹ si kolu awọn ọna šiše pẹlu Intel mojuto i7-6500U to nse ni a Linux ati Chrome 88 ayika, botilẹjẹpe eyi ko ṣe iyasọtọ pe awọn ayipada le ṣee ṣe lati lo nilokulo ni awọn agbegbe miiran.

Ọna ti iṣẹ kii ṣe pataki si awọn onise Intel: lẹhin aṣamubadọgba to dara, A ti fidi ijẹmu naa ṣiṣẹ lori awọn ọna ṣiṣe pẹlu awọn Sipiyu ti ẹnikẹta, pẹlu Apple M1 da lori faaji ARM. Lẹhin awọn tweaks kekere, iṣamulo tun ṣiṣẹ lori awọn ọna ṣiṣe miiran ati awọn aṣawakiri miiran ti o da lori ẹrọ Chromium.

Ninu agbegbe ti o da lori boṣewa Chrome 88 ati awọn onise ero Intel Skylake, a ṣaṣeyọri jijo data lati ilana ti o ni ẹri fun sisọ akoonu wẹẹbu ni taabu Chrome lọwọlọwọ (ilana atunṣe) ni iyara 1 kilobyte fun iṣẹju-aaya kan. Ni afikun, awọn apẹrẹ miiran ti dagbasoke, fun apẹẹrẹ, ilokulo ti o fun laaye, ni idiyele ti iduroṣinṣin ti o dinku, lati mu iwọn jo si 8kB / s pọ si nigba lilo iṣẹ ṣiṣe. Bayi () pẹlu deede ti 5 microseconds (0.005 milliseconds ). A tun pese iyatọ kan ti o ṣiṣẹ pẹlu titọ akoko ti millisecond kan, eyiti o le lo lati ṣeto iraye si iranti ilana miiran ni iwọn to awọn baiti 60 ni iṣẹju-aaya kan.

Koodu demo ti a tẹjade ni awọn ẹya mẹta:

  • Apá akọkọ ṣe iṣiro aago lati ṣe iṣiro akoko ṣiṣiṣẹ ti awọn iṣẹ ti o ṣe pataki lati gba data ti o wa ninu kaṣe ero isise bi abajade ti ipaniyan idaniloju ti awọn ilana Sipiyu.
  • Apa keji Ṣe alaye ipilẹ iranti ti a lo nigbati o ba pin ipin JavaScript.
  • Apakan kẹta taara nilokulo Specter palara lati pinnu akoonu iranti ti ilana lọwọlọwọ nitori abajade awọn ipo fun ipaniyan ipaniyan ti awọn iṣẹ kan, abajade eyi ti o sọ asonu nipasẹ ero isise lẹhin ipinnu asọtẹlẹ ti o kuna, ṣugbọn awọn ami ipaniyan ti wa ni idasilẹ ni kaṣe ti o pin ati pe o le ṣe atunṣe nipa lilo awọn ọna lati Pinnu awọn akoonu ti kaṣe naa nipa lilo awọn ikanni ẹnikẹta ti o ṣe itupalẹ iyipada ni akoko iraye si ibi ipamọ ati data ti ko pamọ.

Ilana ilokulo ti a dabaa n mu awọn akoko to ga julọ kuro wa nipasẹ API iṣẹ.now () ati laisi atilẹyin fun iru SharedArrayBuffer, eyiti o fun ọ laaye lati ṣẹda awọn ipilẹ ni iranti ti a pin.

Lo nilokulo pẹlu ẹrọ Specter, eyiti o fa ipaniyan koodu ṣiro ti iṣakoso, ati itupalẹ jijo ikanni ẹgbẹ kan, eyiti o pinnu iru data ti o ti ṣapamọ lakoko ipaniyan ipaniyan.

A ṣe agbekalẹ gajeti nipa lilo orun JavaScript, ninu eyiti igbidanwo lati wọle si agbegbe ni ita awọn opin ti saarin, eyiti o ni ipa lori ipo ti bulọọki asọtẹlẹ ẹka nitori niwaju ayẹwo iwọn ifiṣura ti a ṣafikun nipasẹ akopọ (ero isise naa n ṣe iṣeeṣe ṣe iraye si ni iwaju akoko, ṣugbọn o sọ ipo pada lẹhin ti ṣayẹwo).

Lati ṣe itupalẹ awọn akoonu ti kaṣe labẹ awọn ipo ti aiṣedede aago ti ko to, ọna kan ni a dabaa pe awọn ẹtan ilana imukuro data Tree-PLRU kaṣe ti a lo ninu awọn onise ati fun laaye, nipa jijẹ nọmba awọn iyika, lati mu alekun iyatọ pọ si ni pataki nigbati iye ti wa ni pada lati kaṣe ati ni isansa ti iye ninu kaṣe.

Google ti ṣe atẹjade apẹrẹ ti iṣamulo lati fihan iṣeeṣe ti awọn ikọlu naa lilo awọn ipalara kilasi Specter ati iwuri fun awọn oludasile wẹẹbu lati lo awọn imuposi ti o dinku awọn eewu iru awọn ikọlu.

Ni akoko kanna, Google gbagbọ pe laisi atunyẹwo pataki ti apẹrẹ ti a dabaa, ko ṣee ṣe lati ṣẹda awọn iṣamulo gbogbo agbaye ti o ṣetan kii ṣe fun ifihan nikan, ṣugbọn fun lilo ni ibigbogbo.

Orisun: https://security.googleblog.com


Awọn akoonu ti nkan naa faramọ awọn ilana wa ti awọn ilana olootu. Lati jabo aṣiṣe kan tẹ nibi.

Jẹ akọkọ lati sọ ọrọ

Fi ọrọ rẹ silẹ

Adirẹsi imeeli rẹ yoo ko le ṣe atejade. O beere aaye ti wa ni samisi pẹlu *

*

*

  1. Lodidi fun data naa: Miguel Ángel Gatón
  2. Idi ti data naa: SPAM Iṣakoso, iṣakoso ọrọ asọye.
  3. Ofin: Iyọọda rẹ
  4. Ibaraẹnisọrọ data: Awọn data kii yoo ni ifọrọhan si awọn ẹgbẹ kẹta ayafi nipasẹ ọranyan ofin.
  5. Ibi ipamọ data: Alaye data ti o gbalejo nipasẹ Awọn nẹtiwọọki Occentus (EU)
  6. Awọn ẹtọ: Ni eyikeyi akoko o le ni opin, gba pada ki o paarẹ alaye rẹ.