`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Новая уязвимость SLS — это Spectre для чипов Arm

–11
голос

Новая уязвимость SLS — это Spectre для чипов Arm

На этой неделе компания Arm выпустила для разработчиков ПО указания по смягчению рисков, связанных с новой уязвимостью, обнаруженной в архитектуре процессора Armv8-A (Cortex-A).

Этот баг, получивший название SLS (Straight-Line Speculation), относится к категории классических спекулятивных атак по побочным каналам, первыми и самыми знаменитыми представителями которых являются Spectre и Meltdown.

В PDF-документе, обнародованном в понедельник, Arm называет SLS ещё одной формой уязвимости Spectre. Но если обнаруженный в январе 2018 года баг Spectre представлял опасность для центральных процессоров от всех крупнейших производителей, то SLS угрожает только чипам Arm Armv-A.

Несмотря на серьёзность самого бага, Arm считает, что в настоящее время риск от SLS невелик. «Его сложно использовать на практике, и реального эксплойта пока не существует», — написано на сайте ARM в разделе часто задаваемых вопросов о SLS. Тем не менее, компания полагает, что возможность успешной практической атаки нельзя полностью исключить.

Arm уже выпустила патчи для разных проектов FOSS (Free and Open-Source Software), включая FreeBSD, OpenBSD, Trusted Firmware-A и OP-TEE. Компания также предоставила исправления для GCC и LLVM, двух самых популярных на сегодняшний день компиляторов кода. Эти патчи препятствуют компиляции кода, который может быть уязвим к SLS.

В отличие от патчей для Spectre и Meltdown, их применение, по заверениям Arm, не ведёт к снижению системной производительности.

Уязвимость SLS (CVE-2020-13844) была открыта участниками проекта Google SafeSide, изучающими атаки по побочным каналам, использующие недоработки аппаратного обеспечения.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

–11
голос

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT