谷歌的一组研究人员已经证明,当今许多处理器中存在的ghost漏洞并不能通过应用现在假设的软件修复来完全缓解。去年发现的Spectre缺陷的变异,涉及到“推测执行”或提前执行以加快计算的函数泄漏,不仅仅是软件故障,而是硬件的基础。
在题为《ghost来了:旁路和投机执行的分析》的论文中,研究人员得出结论,Ghost从根本上击败了一个重要的软件安全层。作为这一过程的一部分,研究人员已经建立了一个通用的阅读工具,当部署时,它将破坏语言强制保密的概念。例如,攻击者可以读取同一地址空间中的所有内存。
研究人员写道,“我们现在认为,硬件中的投机性漏洞将破坏所有语言的强制机密性,目前还没有已知的全面软件缓解措施”,因为我们发现,不可信代码可以构建一个通用的读取小工具,通过旁路空间读取同一地址的所有内存。
“计算机系统已经变得非常复杂,以追求表面上的性能为首要目标。我们正在使它们更快、更强大,但也更复杂,这通过我们创建抽象的各种方式为巨大的成功做出了贡献。
“我们的模型,我们的心理模型,是错误的;我们一直在用安全性换取性能和复杂性,却不自知,”他们补充道。“现在是一个痛苦的讽刺。今天,国防需要更复杂的软件缓解,我们知道其中大多数都不完整。”
确定的主要挑战之一是减轻由ghost漏洞引起的漏洞。研究人员了解到,分析的四个变体绕过了正常的安全检查和语言类型安全假设。
比如变体4,叫做思辨混乱,它“打败了我们能想到的一切”。研究人员探索了更具前瞻性的缓解这种攻击的方法,但发现“它被证明比我们预期的更常见、更危险”。
去年,在ghost和melting攻击法规中发现了相同的处理器漏洞,其中涉及一个变种条款,即恶意程序获得了通常受内核保护的数据。计算机芯片上的内核根据用户执行的功能在存储器的各个部分移动数据。
这些漏洞中的任何一个或者两个都或多或少地影响了各大厂商在过去几十年制造的所有芯片,不仅是英特尔的CPU,还有ARM和AMD。
与Meltdown攻击相反,Meltdown攻击“融合”了芯片硬件级别设置的边界,理论上应该可以保护内存部分。Spectre攻击更有针对性,需要知道受害者的系统。它们很难发展,但更难缓解。
卡巴斯基的主要安全研究员大卫埃姆(David Emm)告诉IT专业人士,“显然,Spectre的漏洞并不容易解决。”“Ghost开启了一种新的开发方式,这种方式可能会在未来几个月乃至几年内影响不同的软件。
“在Spectre和Meltdown之后发布的大多数补丁都尽量减少了攻击的表面,但并没有完全消除它。这可能会继续存在。”