Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Destek
www.wikipedia.tr-tr.nina.az
  • Vikipedi

Spectredallanma öngörüsü kullanan modern mikroişlemcileri etkileyen bir güvenlik açığıdır çoğu işlemcide s

Spectre (güvenlik açığı)

Spectre (güvenlik açığı)
www.wikipedia.tr-tr.nina.azhttps://www.wikipedia.tr-tr.nina.az

Spectre dallanma öngörüsü kullanan modern mikroişlemcileri etkileyen bir güvenlik açığıdır. Çoğu işlemcide spekülatif yürütmeden kaynaklanan hatalı dallanma tahmini, özel bilgilerin saldırganların eline geçmesine neden olabilecek ciddi yan etkiler bırakabilir. Örneğin, bu spekülatif yürütme tarafından gerçekleştirilen bellek modeli özel verilere bağlıysa veri önbelleğinin sonuç durumu, bir saldırganın bir zamanlama saldırısı gerçekleştirerek özel veriler hakkında bilgi alabildiği bir yan kanal oluşturur.

image
Güvenlik açığı için oluşturulmuş bir logo, elinde dal tutan bir hayaleti temsil etmektedir.

Spectre'ye ait iki (CVE) kimliği bildirilmiştir, CVE-2017-5753 (sınır denetimini atlama, Spectre-V1) ve CVE-2017-5715 (dal hedefi ekleme, Spectre-V2). JİT motorları için kullanılan JavaScript savunmasız bulunmuştur. Bu zaafiyet, bir web sitesinin, tarayıcıda bir başka websitesi için saklanan verileri veya tarayıcının belleğinin kendisini okuyabilmesinden kaynaklanmaktadır.

15 Mart 2018'de Intel, Spectre ve ilgili Meltdown güvenlik açıklarına (Spectre-V1 değil, özellikle Spectre-V2 ve Meltdown-V3'e) karşı koruma sağmak için işlemcilerini (performans kayıpları açıklanmak üzere) yeniden tasarlayacağını bildirdi. Yeniden tasarlanan işlemcilerin 2018'de daha sonra piyasaya sürülmesi bekleniyor.

Tarihçe

2002 ve 2003 yıllarında Yukiyasu Tsunoo ve NEC'den meslektaşları sırasıyla MISTY ve DES'e nasıl saldırılacağını gösterdi. 2005'te Illinois Üniversitesi'nden Daniel Bernstein, bir önbellek zamanlama saldırısı yoluyla OpenSSL AES anahtarının elde edilebileceğini bildirdi ve Colin Percival, Intel işlemcinin önbelleğini kullanarak OpenSSL RSA anahtarında çalışan bir saldırıyı elde etmiş oldu. 2013 yılında Adelaide Üniversitesi'nden Yuval Yarom ve Katrina Falkner, verilere erişim süresinin ölçülmesinin, bilginin önbellekten okunup okunmadığı konusunda casusluk uygulamasının nasıl tahmin edileceğini gösterdi. Önbellekten okunduğunda erişim süresi çok kısa olmaktaydı ve okunan veriler şifreleme algoritmalarının özel anahtarını içerebilmekteydi. Bu teknik GnuPG, AES ve diğer kriptografik uygulamalara başarılı bir şekilde saldırmak için kullanıldı. Anders Fogh, Ocak 2017'de Ruhruniversität Bochum'da özellikle birden fazla işlemci çekirdeği tarafından kullanılan bir boru hattına sahip işlemcilerde gizli kanalları otomatik olarak bulma konusunda bir sunum yaptı.

Spectre, Google'daki 'dan Jann Horn ve Paul Kocher tarafından Daniel Genkin, Mike Hamburg, Moritz Lipp, Yuval Yarom ile işbirliği ile bağımsız olarak keşfedildi. Microsoft Güvenlik Açığı Araştırması, tarayıcıların JavaScript JIT motorlarına genişletildi. 3 Ocak 2018'de, etkilenen donanım tedarikçilerinin konunun 1 Haziran 2017'de farkına varmasından sonra başka bir zayıflık olan Meltdown ile birlikte kamuoyuna açıklandı. Bu güvenlik açığı "Kök neden, spekülatif yürütüme dayanıyor. Düzeltilmesi kolay olmadığından, oldukça uzun bir süre bizi rahatsız edecektir. " şeklinde açıklandığı için "Spectre" olarak adlandırıldı.

28 Ocak 2018'de Intel'in kusurlar hakkında ABD'ye haber vermeden önce Çin'in teknoloji şirketlerine Meltdown ve Spectre güvenlik açıkları hakkındaki haberleri paylaştığı bildirildi.

29 Ocak 2018'de Microsoft'un daha önce Intel'in Varyant 2 saldırısı için Intel tarafından yayınlanan sorunlu mikrokod düzeltmesini (olası yeniden başlatmalara, kararlılığa ve veri kaybına / bozulma sorunlarına neden olan) devre dışı bırakan bir Windows güncellemesi yayınladığı bildirildi. Yeni Microsoft yamasının yüklenmesiyle ilgili endişeler yaşandığı bildirildi.

Ayrıntılı açıklama

Spectre, bir programı programın bellek alanındaki rastgele konumlara erişmeye zorlayan bir güvenlik açığıdır. Bir saldırgan, erişilen belleğin içeriğini okuyabilir ve bu sayede potansiyel olarak önemli veriler alabilir.

Spectre teknik incelemesinde düzeltilmesi kolay sadece bir güvenlik açığı yerine bir dizi olası güvenlik açıkları anlatılmaktadır. Bunların hepsi; yan etkilerini, gizlemenin yaygın bir yolunu ve modern mikroişlemcilerde yürütmeyi hızlandırmayı temel alır. Spectre bilhassa spekülatif yürütmenin özel bir durumu olan dallanma öngörüsü üzerine odaklanmaktadır. Aynı zamanda açıklanan ilgili Meltdown açığının aksine Spectre; tek bir işlemcinin bellek yönetimi ve koruma sisteminin belirli bir özelliğine dayanmaz, daha genelleştirilmiş bir fikirdir.

Beyaz kağıdın başlangıç noktası, sırasız yürütme yapan modern mikroişlemcilerden oluşan dallanma öngörüsü makinelerine uygulanan bir yan kanal zamanlama saldırısıdır. İşlemci veri defterlerinde belgelenen mimari düzeyde, yanlış tahmin sonuçlarının gerçeğin ardından iptal edilmesinden sonra bile, ortaya çıkan spekülatif yürütme, yüklenen önbellek çizgileri gibi, yan etkileri hala kalmış olabilmektedir. Bunlar daha sonra bilgi işlem ortamının sözde işlevsel olmayan yönlerini etkileyebilir. Bu tür yan etkiler (bellek erişim zamanlaması dahil, ancak bunlarla sınırlı olmamak üzere) kötü amaçlı bir program tarafından görülebilir ve kurbanın işlemi tarafından tutulan hassas verilere dayanacak şekilde tasarlanabilirse, bu yan etkiler, hassas verilerin fark edilebilir hale gelmesine neden olabilir. Bu, tasarlandığı gibi çalışan mimarlık düzeyinde güvenlik düzenlemelerine rağmen gerçekleşebilir; Bu durumda, kod yürütmesi için daha alt, mikromimari seviyesinde yapılan optimizasyonların, normal program yürütme doğruluğu için gerekli olmayan bilgiler sızdırabilmektedir..

Spectre makalesi saldırıyı dört temel adımda açıklar:

  1. İlk olarak modern işlemcilerdeki dallanma öngörüsü mantığının, kötü amaçlı bir programın iç işleyişine dayanarak güvenilir bir şekilde vuracak ya da kaçırabilecek şekilde eğitilebileceğini göstermektedir.
  2. Daha sonra önbellek isabetleri ile kaçırmaları arasındaki sonraki farkın güvenilir bir şekilde zamanlanabileceğini göstermek için devam eder, böylece basit bir işlevsel olmayan farkın olması, aslında ilgisiz bir sürecin iç çalışmalarından gelen bilgileri ayıklayan gizli bir kanala dönüştürülebilir.
  3. Üçüncüsü, sonuçlar, basit bir örnek program ve bir altında çalıştırılan bir JavaScript pasajı ile istismarları ve diğer ilkeler ile sonuçları sentezler; her iki durumda da, mağdur sürecinin tüm adres alanı (yani, çalışan bir programın içeriği), bir stok derleyicisinin veya mevcut bir tarayıcıda mevcut olan JavaScript makinesinin oluşturduğu koddaki koşullu dalların spekülatif yürütmesini basitçe kullanarak okunabilir olarak gösterilmektedir. Temel fikir, spekülasyonun erişilemeyen veriler üzerine dokunduğu yerler için mevcut kodu aramak, işlemciyi spekülatif yürütmenin bu verilere temas etmesi gereken bir duruma geçirmesi ve daha sonra işlemcinin yan etkisinden faydalanarak, daha hızlı olması için kullanılan ön belleğe alma makinelerini gerçekten bir önbellek hattı yükleyecek şekilde zamanlamaktır.
  4. Son olarak makale, saldırıyı mağdur sürecinin işlevsel olmayan herhangi bir durumuna genelleştirerek sona ermektedir. Bu durum, veriyolu tahkim gecikmesi gibi belirgin olmayan işlevsel olmayan etkileri bile kısaca tartışır.

Spectre ve Meltdown arasındaki temel fark, Spectre'nin bir işlemi kendi verilerini açığa çıkarmak için kullanmasıdır. Öte yandan, Meltdown, sürecin normalde erişemediği bir süreç adres alanında okumak için kullanılabilir (bazı korumasız işletim sistemlerinde bu, çekirdeğe veya diğer işlemlere ait verileri içerir).

Meltdown makalesi, bu iki zafiyeti şu şekilde ayırmaktadır: “Meltdown, Spectre saldırılarından, özellikle Spectre'nin kurban sürecinin yazılım ortamına göre uyarlanmasını gerektirdiği, ancak daha geniş bir şekilde CPU'lara uygulanmasını gerektirdiği ve  tarafından hafifletilmediği gibi birçok açıdan farklıdır.”

Uzaktan çalıştırma

Spectre, C veya C ++ gibi derlenmiş bir dil ile yerel olarak makine kodunun çalıştırılmasıyla açığın istismar edilmesinin daha kolay olmasına rağmen, uzak web sayfalarında barındırılan kod tarafından uzaktan da kullanılabilir. Örneğin, JavaScript gibi web tarayıcısı kullanılarak yerel olarak çalışan yorumlanmış diller. Kodlanmış kötü amaçlı yazılım, çalışan tarayıcının adres alanına eşlenen tüm belleğe erişebilir.

Uzaktan erişimde JavaScript kullanan istismar, yerel makine kodu istismarınınkine benzer bir akış izler: Floş Önbellek → Mistrain Branch Predictor → Zamanlanmış Okumalar (isabet etti / etmedi takibi).

JavaScript'te "clflush" komutunu (önbellek satırı floş) kullanmak için uygunluğun olmaması, alternatif bir yaklaşım gerektirmektedir. İşlemcinin seçebileceği birkaç otomatik politikası vardır ve bu istismarın çalışması için tahliyenin zorlanabilmesine güvenmekteyiz. İlk dizinin arkasında birkaç iterasyon tutulan büyük dizide ikinci bir endeks kullanılmasının, en az kullanılan (LRU) politikanın kullanılmasına neden olacağı bulunmuştur. Bu, istismarın, büyük bir veri kümesinde artan sayıda okuma yaparak önbelleği etkin bir şekilde temizlemesine olanak tanır.

Daha sonra dallanma öngörücüsü, endeksi aralıklı değerlere ayarlamak için bitsel işlemleri kullanarak çok büyük bir veri kümesi üzerinde yinelemek ve ardından son yinelemede sınır dışı adresi kullanmak suretiyle yeniden denetlenir.

Bir okuma kümesinin bir önbellek isabeti veya önbellek kaçırmasına neden olup olmadığını belirlemek için yüksek hassasiyetli bir zamanlayıcı gerekir. Chrome, Firefox ve Tor (Firefox'a dayalı) gibi tarayıcılar, zamanlayıcıların çözümüne (Spectre istismarında istenen önbellek vurulma / kaçırma olup olmadığını belirlemek için), kısıtlamalar koydu. Beyaz kağıdın yazılması sırasında, Spectre yazarı, HTML5'in özelliğini kullanarak yüksek hassasiyetli bir zamanlayıcı oluşturabildi.

Tam zamanında derleme (JIT) derleyicisi tarafından yürütülen makine kodunun dikkatli kodlaması ve analizi, önbellek temizlemenin ve istismarcı okumaların optimize edilmediğinden emin olmak için gerekliydi.

Etkisi

2018 itibarıyla hemen hemen her bilgisayar sistemi, masaüstü bilgisayarlar, dizüstü bilgisayarlar ve mobil cihazlar dahil olmak üzere, Spectre'den etkilenmektedir. Spectre'nin spesifik olarak Intel, AMD, ARM tabanlı ve IBM işlemciler üzerinde çalıştığı görülmüştür. Intel, bildirilen güvenlik açıklarına resmi bir açıklama ile yanıt verdi. AMD, işlemcilerinin Spectre-V1'e karşı savunmasızlığını kabul etti ancak mimarisindeki farklılıklardan dolayı “sıfıra yakın istismar barındırma riski ” iddiasıyla işlemcileri üzerinde Spectre-V2'ye yönelik güvenlik açıklığının henüz bulunmadığını belirtti.

Araştırmacılar, Spectre açığının bazı Intel, AMD ve ARM işlemcileri etkileyebileceğini belirttiler. Özellikle spekülatif yürütüm yapan işlemciler bu güvenlik açıklarından etkilenmektedir.

ARM, işlemcilerinin çoğunun savunmasız olmadığını belirtti ve Spectre açığından etkilenen belirli işlemci çekirdeklerinin bir listesini yayınladı: Cortex-R7, Cortex-R8, Cortex-A8, Cortex-A9, Cortex-A15, Cortex -A17, Cortex-A57, Cortex-A72, Cortex-A73 ve ARM Cortex-A75

Spectre, bulut sağlayıcılar üzerinde Meltdown'dan daha büyük bir etki yapma potansiyeline sahiptir. Meltdown, yetkisiz uygulamaların aynı bulut sunucusunda çalışan işlemlerden hassas veriler elde etmek için ayrıcalıklı bellekten okumalarına izin verirken Spectre, kötü amaçlı programların verileri üstte çalışan bir konuk sisteme iletmek üzere bir manipüle edilerek çalıştırılmasına izin verebilmektedir.

Hafifletme

Spectre bütün bir saldırı sınıfını temsil ettiğinden, büyük olasılıkla bunun için tek bir yama yapılması mümkün değildir. Güvenlik açığı olan özel durumları ele almak için şimdiden çalışmalar yapılmakta iken, Spectre ve 'a ayrılmış orijinal web sitesi şunu belirtmektedir: "[Spectre] 'nin düzeltmesi kolay olmadığı gibi, uzun bir süre boyunca bizi rahatsız edecektir." Aynı zamanda DELL bilgisayarlarına göre: Araştırmacılar, kavram kanıtı üretmiş olsalar da, "Bu 'güvenlik açığının' [yani, Meltdown ve Spectre] 'nin hiçbiri [7 Şubat 2018] tarihine dek 'gerçek-zamanlı' bir istismara maruz kalmadığını rapor edilmiştir. "

Ev bilgisayarlarını ve ilgili cihazları güvenlik açığından korumaya yardımcı olacak birkaç prosedür yayınlanmıştır. Spectre yamalarının, özellikle eski bilgisayarlarda, performansı önemli ölçüde yavaşlattığı bildirilmiştir; daha yeni olan sekizinci nesil Core platformlarında, yüzde 2 ile 14 arasında benchmark performans düşüşleri ölçülmüştür. 18 Ocak 2018'de, Meltdown ve Spectre yamaları nedeniyle daha yeni Intel çiplerinde bile istenmeyen yeniden başlatmalar rapor edilmiştir.

Etki azaltma maliyetinin, Intel 64 mimarisi altında  (PCID) olarak adlandırılan bir özellik olan ve bir adres alanı numarası (ASN) olan Alpha altında, seçici etkin sayfalar önbelleği (TLB) boşaltımı özelliği olan işlemciler tarafından azaltılabileceği önerilmiştir. Bunun nedeni, seçici boşaltımın, ESÖ davranışının, tüm ESÖ'yü boşaltmadan işlemler arasında izole edilmek üzere, ESÖ'nün davranış açısından hayati öneme sahip olmasını sağlamasıdır.

Mart 2018'de Intel, Spectre-V1 için değil, yalnızca Meltdown-V3 ve Specter-V2 için donanım düzeltmeleri geliştirdiğini açıkladı. Güvenlik açıkları, süreci ve ayrıcalık düzeyini ayırmayı geliştiren yeni bir bölümleme sistemi tarafından azaltıldı.

Microsoft Windows'taki azaltma özeti Kaynak hatası: Açılış <ref> etiketi hatalı biçimlendirilmiş veya hatalı bir ada sahip (Bkz: )
Güvenlik açığı CVE İstismar adı

Genel güvenlik açığı adı

Windows değişiklikleri Donanım yazılımı değişiklikleri
Spectre 2017-5753 Varyant 1 Sınır Denetimini Atlama Yeni bir derleyici ile yeniden derleme

JavaScript'ten yararlanmayı önlemek için Sertleştirilmiş Tarayıcı

Hayır
Spectre 2017-5715 Varyant 2 Dallanma Hedefi Enjeksiyonu Dallanma spekülasyonunu ortadan kaldıran yeni CPU talimatları Evet
Meltdown 2017-5754 Varyant 3 Sahte Veri Önbellek Yükleme İzole çekirdek ve kullanıcı modu sayfa tabloları Hayır
Spectre-NG 2018-3640 Varyant 3a Rogue System Register Read (RSRR) Evet
Spectre-NG 2018-3639 Varyant 4 Speculative Store Bypass (SSB) Evet
Spectre-NG 2018-3665 Lazy FP State Restore
Spectre-NG 2018-3693 Varyant 1.1 Bounds Check Bypass Store (BCBS)
Spectre Varyant 1.2 Read-only protection bypass (RPB)
SpectreRSB Return Mispredict

Özel yazılım

Ev bilgisayarlarının ve ilgili cihazların bu güvenlik açığından korunmasına yardımcı olacak birkaç prosedür yayınlandı.

İlk hafifletme çabaları tamamen sorunsuz değildi. İlk başta, özellikle eski bilgisayarlarda, Spectre yamalarının performansı önemli ölçüde azalttığı bildirildi. Nispeten yeni olan sekizinci nesil Core platformlarında % 2-14 oranında benchmark performans düşüşleri ölçüldü. 18 Ocak 2018'de, nispeten yeni Intel çiplerinde bile istenmeyen yeniden başlatmalar bildirildi.

Web sitelerine yerleştirilmiş JavaScript kodları aracılığıyla Spectre'ın kullanılması mümkün olduğundan Chrome 64, saldırıya karşı varsayılan olarak hafifletme önlemleri içerecektir. Chrome 63 kullanıcıları, Site Yalıtım özelliğini etkinleştirerek saldırıyı manuel olarak azaltabilir (chrome://flags#enable-site-işlem başına).

Mozilla zamanlama saldırılarının engellenmesine yardımcı olmak için Firefox 57.0.4'ten itibaren JavaScript zamanlayıcılarının çözünürlüğünü azaltmakta ve gelecekteki sürümler için planlanan zamana hitap eden teknikler üzerinde ek çalışmalar gerçekleştirmektedir.

Genel yaklaşımlar ve tartışmalar

Google, 4 Ocak 2018'de güvenlik blogunda "Retpoline" (dönüş trambolini)  adı verilen ve ihmal edilebilir miktarda işlemci yükü ile birlikte Spectre açığının üstesinden gelebilecek yeni bir teknik açıkladı. Derleyici seviyesinde doğrudan olmayan dallanmaların, istismara yol açmayacak spekülatif sırasız yürütmenin gerçekleştirildiği başka bir hedefe yönlendirilmesi ile yapılmaktadır. x86 komut kümesi için geliştirilmiş olsa da, Google mühendisleri tekniğin diğer işlemcilere de aktarılabileceğini düşünmekteler.

25 Ocak 2018'de Meltdown ve Spectre açıklarını çözmek için mevcut durum ve gelecekte dikkate alınacak hususlar sunuldu.

Intel, Spectre hafifletme işleminin bir hata olmak yerine "güvenlik özelliği" olarak kullanılabileceğini duyurduğunda Linux'un yaratıcısı Linus Torvalds, yamaları "kesin ve tamamen çöp" olarak adlandırdı. Daha sonra , İndirekt Dal Sınırlı Spekülasyon (IBRS) mikrokod desteği olmadan Spectre'ı düzeltmek için Linux çekirdeğinde işlev izleme makinelerinin kullanılmasını önerdi. Bu, sonuç olarak, sadece Intel  ve daha yeni mimariye dayanan işlemciler üzerinde bir performans etkisine sahip olacaktı.

Ayrıca bakınız

  • Meltdown (güvenlik açığı)

Kaynakça

  1. ^ Greenberg, Andy (3 Ocak 2018). "A Critical Intel Flaw Breaks Basic Security for Most Computers". Wired. 14 Mart 2018 tarihinde kaynağından . Erişim tarihi: 3 Ocak 2018. 
  2. ^ Bright, Peter (5 Ocak 2018). "Meltdown and Spectre: Here's what Intel, Apple, Microsoft, others are doing about it". Ars Technica. 6 Mart 2018 tarihinde kaynağından . Erişim tarihi: 6 Ocak 2018. 
  3. ^ Staff (2018). . . 8 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 3 Ocak 2018. 
  4. ^ Metz, Cade; Perlroth, Nicole (3 Ocak 2018). "Researchers Discover Two Major Flaws in the World's Computers". The New York Times. ISSN 0362-4331. 3 Ocak 2018 tarihinde kaynağından . Erişim tarihi: 3 Ocak 2018. 
  5. ^ Warren, Tom (3 Ocak 2018). "Intel's processors have a security bug and the fix could slow down PCs". The Verge. 3 Ocak 2018 tarihinde kaynağından . Erişim tarihi: 3 Ocak 2018. 
  6. ^ . Microsoft. 9 Ocak 2018. 7 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Nisan 2018. 
  7. ^ "Meltdown, Spectre: The password theft bugs at the heart of Intel CPUs". . 4 Ocak 2018. 4 Nisan 2018 tarihinde kaynağından . Erişim tarihi: 2 Nisan 2018. 
  8. ^ Warren, Tom (15 Mart 2018). "Intel processors are being redesigned to protect against Spectre - New hardware coming later this year". The Verge. 21 Nisan 2018 tarihinde kaynağından . Erişim tarihi: 15 Mart 2018. 
  9. ^ Shankland, Stephen (15 Mart 2018). "Intel will block Spectre attacks with new chips this year - Cascade Lake processors for servers, coming this year, will fight back against a new class of vulnerabilities, says CEO Brian Krzanich". CNET. 23 Nisan 2018 tarihinde kaynağından . Erişim tarihi: 15 Mart 2018. 
  10. ^ Coldewey, Devin (15 Mart 2018). "Intel announces hardware fixes for Spectre and Meltdown on upcoming chips". TechCrunch. 7 Nisan 2018 tarihinde kaynağından . Erişim tarihi: 28 Mart 2018. 
  11. ^ Y. Tsunoo, E. Tsujihara, K. Minematsu, H. Miyauchi, “Cryptanalysis of Block Ciphers Implemented on Computers with Cache,” ISITA 2002, 2002.
  12. ^ [Cryptanalysis of DES Implemented on Computers with Cache Cryptanalysis of DES Implemented on Computers with Cache], Yukiyasu Tsunoo, Teruo Saito, Tomoyasu Suzaki, Maki Shigeri, and Hiroshi Miyauchi, Cryptographic Hardware and Embedded Systems - CHES 2003, 5th International Workshop, Cologne, Germany, September 8–10, 2003.
  13. ^ Cache-timing attacks on AES 7 Haziran 2011 tarihinde Wayback Machine sitesinde ., Daniel J. Bernstein, April 14, 2005.
  14. ^ Cache missing for fun and profit 14 Mayıs 2011 tarihinde Wayback Machine sitesinde ., Colin Percival, presented at BSDCan '05, May 2005. Conference presentation slides 12 Aralık 2018 tarihinde Wayback Machine sitesinde . . Superseded by: Cache missing for fun and profit 19 Mayıs 2018 tarihinde Wayback Machine sitesinde ., October 2005.
  15. ^ FLUSH+RELOAD: A High Resolution, Low Noise, L3 Cache Side-Channel Attack 5 Mart 2018 tarihinde Wayback Machine sitesinde ., Yuval Yarom and Katrina Falkner, The University of Adelaide, 23rd USENIX Symposium, August 22–24, 2014, San Diego.
  16. ^ CacheBleed A Timing Attack on OpenSSL Constant Time RSA 12 Aralık 2018 tarihinde Wayback Machine sitesinde ., uval Yarom and Daniel Genkin and Nadia Heninger, CHES 2016, Yuval Yarom referring to the history, September 21, 2016.
  17. ^ Anders Fogh: "Covert shotgun: Automatically finding covert channels in SMT" 12 Aralık 2018 tarihinde Wayback Machine sitesinde ., Ruhruniversität Bochum, HackPra channel from the Chair of Network and Data Security, January 12, 2017. Fogh describing a Side Channel using fashioned listening to a safe while turning its wheel 12 Aralık 2018 tarihinde Wayback Machine sitesinde .
  18. ^ . Mozilla. 14 Mart 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Nisan 2018. 
  19. ^ Gibbs, Samuel (4 Ocak 2018). "Meltdown and Spectre: 'worst ever' CPU bugs affect virtually all computers". The Guardian. 12 Mart 2018 tarihinde kaynağından . Erişim tarihi: 6 Ocak 2018. 
  20. ^ . spectreattack.com. 8 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Nisan 2018. 
  21. ^ Lynley, Matthew (28 Ocak 2018). "Intel reportedly notified Chinese companies of chip security flaw before the U.S. government". TechCrunch. 16 Şubat 2018 tarihinde kaynağından . Erişim tarihi: 28 Ocak 2018. 
  22. ^ Tung, Liam (29 Ocak 2018). "Windows emergency patch: Microsoft's new update kills off Intel's Spectre fix - The out-of-band update disabled Intel's mitigation for the Spectre Variant 2 attack, which Microsoft says can cause data loss on top of unexpected reboots". . 4 Nisan 2018 tarihinde kaynağından . Erişim tarihi: 29 Ocak 2018. 
  23. ^ Staff (26 Ocak 2018). "Update to Disable Mitigation against Spectre, Variant 2". Microsoft. 31 Mart 2018 tarihinde kaynağından . Erişim tarihi: 29 Ocak 2018. 
  24. ^ Leonhard, Woody (29 Ocak 2018). "Windows surprise patch KB 4078130: The hard way to disable Spectre 2 - Disabling the disruptive 'Spectre 2' bugs in Intel processors has always been quite straightforward, but on Friday night Microsoft released a download-only patch that also does the job. You probably don't want it". . 29 Ocak 2018 tarihinde kaynağından . Erişim tarihi: 29 Ocak 2018. 
  25. ^ . 2018. 8 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Nisan 2018. 
  26. ^ (PDF). 2018. 3 Nisan 2018 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 2 Nisan 2018. 
  27. ^ "Spectre Attack Whitepaper" (PDF). 3 Nisan 2018 tarihinde kaynağından (PDF). Erişim tarihi: 8 Şubat 2018. 
  28. ^ Staff (2018). . . 8 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Ocak 2018. 
  29. ^ Busvine, Douglas; Nellis, Stephen (3 Ocak 2018). "Security flaws put virtually all phones, computers at risk". Reuters. Thomson-Reuters. 3 Nisan 2018 tarihinde kaynağından . Erişim tarihi: 3 Ocak 2018. 
  30. ^ "Potential Impact on Processors in the POWER family". 2018. 3 Nisan 2018 tarihinde kaynağından . Erişim tarihi: 2 Nisan 2018. 
  31. ^ Staff (3 Ocak 2018). . Intel. 7 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Ocak 2018. 
  32. ^ "Who's affected by computer chip security flaw". 4 Ocak 2018 tarihinde kaynağından . Erişim tarihi: 2 Nisan 2018. 
  33. ^ "Kernel-memory-leaking Intel processor design flaw forces Linux, Windows redesign". The Register. 2 Ocak 2018. 7 Nisan 2018 tarihinde kaynağından . Erişim tarihi: 2 Nisan 2018. 
  34. ^ Staff (2018). . . 8 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Ocak 2018. 
  35. ^ Busvine, Douglas; Nellis, Stephen (3 Ocak 2018). "Security flaws put virtually all phones, computers at risk". Reuters. Thomson-Reuters. 3 Nisan 2018 tarihinde kaynağından . Erişim tarihi: 3 Ocak 2018. 
  36. ^ . 15 Mart 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Nisan 2018. 
  37. ^ . ARM Developer. 3 Ocak 2018. 4 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 5 Ocak 2018. 
  38. ^ Fox-Brewster, Thomas (3 Ocak 2018). "Massive Intel Vulnerabilities Just Landed -- And Every PC User On The Planet May Need To Update". Forbes. Forbes Media LLC. 21 Şubat 2018 tarihinde kaynağından . Erişim tarihi: 3 Ocak 2018. 
  39. ^ Staff (7 Şubat 2018). . Dell. 27 Ocak 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Şubat 2018. 
  40. ^ Staff (7 Şubat 2018). . Dell. 5 Mart 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Şubat 2018. 
  41. ^ Hachman, Mark (9 Ocak 2018). . . 9 Şubat 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Ocak 2018. 
  42. ^ "Computer chip scare: What you need to know". BBC News. 4 Ocak 2018. 21 Şubat 2018 tarihinde kaynağından . Erişim tarihi: 4 Ocak 2018. 
  43. ^ "Intel says processor bug isn't unique to its chips and performance issues are 'workload-dependent'". The Verge. 3 Ocak 2018 tarihinde kaynağından . Erişim tarihi: 4 Ocak 2018. 
  44. ^ . How-To Geek. 20 Ocak 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Nisan 2018. 
  45. ^ Smith, Ryan (15 Mart 2018). . . 25 Mart 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 20 Mart 2018. 
  46. ^ Sometimes misspelled as "RSRE"
  47. ^ Metz, Cade; Chen, Brian X. (4 Ocak 2018). "What You Need to Do Because of Flaws in Computer Chips". The New York Times. 6 Ocak 2018 tarihinde kaynağından . Erişim tarihi: 5 Ocak 2018. 
  48. ^ Pressman, Aaron (5 Ocak 2018). "Why Your Web Browser May Be Most Vulnerable to Spectre and What to Do About It". Fortune. 10 Ocak 2018 tarihinde kaynağından . Erişim tarihi: 5 Ocak 2018. 
  49. ^ Chacos, Brad (4 Ocak 2018). . . 7 Ocak 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Ocak 2018. 
  50. ^ Elliot, Matt (4 Ocak 2018). "Security – How to protect your PC against the Intel chip flaw – Here are the steps to take to keep your Windows laptop or PC safe from Meltdown and Spectre". CNET. 6 Nisan 2018 tarihinde kaynağından . Erişim tarihi: 4 Ocak 2018. 
  51. ^ Tung, Liam (18 Ocak 2018). "Meltdown-Spectre: Intel says newer chips also hit by unwanted reboots after patch - Intel's firmware fix for Spectre is also causing higher reboots on Kaby Lake and Skylake CPUs". . 20 Ocak 2018 tarihinde kaynağından . Erişim tarihi: 18 Ocak 2018. 
  52. ^ Kocher, Paul; Genkin, Daniel; Gruss, Daniel; Haas, Werner; Hamburg, Mike; Lipp, Moritz; Mangard, Stefan; Prescher, Thomas; Schwarz, Michael (2018). "Spectre Attacks: Exploiting Speculative Execution" (PDF). 3 Ocak 2018 tarihinde kaynağından (PDF). Erişim tarihi: 2 Nisan 2018. 
  53. ^ "Google's Mitigations Against CPU Speculative Execution Attack Methods". 3 Ocak 2018 tarihinde kaynağından . Erişim tarihi: 4 Ocak 2018. 
  54. ^ . 4 Ocak 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Ocak 2018. 
  55. ^ (PDF). White Paper, 336983-001 Revision 1.0. Intel. Ocak 2018. s. 5. 1 Mayıs 2018 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 11 Ocak 2018. second technique introduces the concept of a "return trampoline", also known as "retpoline" 
  56. ^ . 5 Ocak 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Nisan 2018. 
  57. ^ . 8 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Nisan 2018. 
  58. ^ Paul Turner. "Retpoline: a software construct for preventing branch-target-injection – Google Help". 5 Ocak 2018 tarihinde kaynağından . Erişim tarihi: 2 Nisan 2018. 
  59. ^ Hachman, Mark (25 Ocak 2018). . . 12 Mart 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 26 Ocak 2018. 
  60. ^ 'WHAT THE F*CK IS GOING ON?' Linus Torvalds explodes at Intel spinning Spectre fix as a security feature, Patches slammed as 'complete and utter garbage' as Chipzilla U-turns on microcode 4 Nisan 2018 tarihinde Wayback Machine sitesinde ., The Register, January 22, 2018.
  61. ^ Molnar suggesting to use function tracing 25 Ocak 2018 tarihinde Wayback Machine sitesinde ., Re: [RFC 09/10] x86/enter: Create macros to restrict/unrestrict Indirect Branch Speculation 24 Ocak 2018 tarihinde Wayback Machine sitesinde ., Ingo Molnar, January 23, 2018.
  62. ^ IBRS patch series 19 Ocak 2018 tarihinde Wayback Machine sitesinde ., Intel, January 4, 2018 .

Konuyla ilgili yayınlar

  • Kocher, Paul; Genkin, Daniel; Gruss, Daniel; Haas, Werner; Hamburg, Mike; Lipp, Moritz; Mangard, Stefan; Prescher, Thomas; Schwarz, Michael (2018). "Spectre Attacks: Exploiting Speculative Execution" (PDF). 3 Ocak 2018 tarihinde kaynağından (PDF). Erişim tarihi: 2 Nisan 2018. 
  • "WRITEUP (59.9 KB) - Project Zero - Monorail". 13 Ocak 2018 tarihinde kaynağından . Erişim tarihi: 2 Nisan 2018. 

Dış bağlantılar

  • Web sitesi Meltdown ve Spectre açıkları, Graz Üniversitesi ev sahipliğinde Teknoloji detaylandırma3 Ocak 2018 tarihinde Wayback Machine sitesinde .
  • Sıfır Google Proje yazma-up7 Ocak 2018 tarihinde Wayback Machine sitesinde .
  • Meltdown/Spectre Denetleyicisi 20 Haziran 2018 tarihinde Wayback Machine sitesinde . Gibson Research Corporation

wikipedia, wiki, viki, vikipedia, oku, kitap, kütüphane, kütübhane, ara, ara bul, bul, herşey, ne arasanız burada,hikayeler, makale, kitaplar, öğren, wiki, bilgi, tarih, yukle, izle, telefon için, turk, türk, türkçe, turkce, nasıl yapılır, ne demek, nasıl, yapmak, yapılır, indir, ücretsiz, ücretsiz indir, bedava, bedava indir, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, resim, müzik, şarkı, film, film, oyun, oyunlar, mobil, cep telefonu, telefon, android, ios, apple, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, pc, web, computer, bilgisayar

Spectredallanma ongorusu kullanan modern mikroislemcileri etkileyen bir guvenlik acigidir Cogu islemcide spekulatif yurutmeden kaynaklanan hatali dallanma tahmini ozel bilgilerin saldirganlarin eline gecmesine neden olabilecek ciddi yan etkiler birakabilir Ornegin bu spekulatif yurutme tarafindan gerceklestirilen bellek modeli ozel verilere bagliysa veri onbelleginin sonuc durumu bir saldirganin bir zamanlama saldirisi gerceklestirerek ozel veriler hakkinda bilgi alabildigi bir yan kanal olusturur Guvenlik acigi icin olusturulmus bir logo elinde dal tutan bir hayaleti temsil etmektedir Spectre ye ait iki CVE kimligi bildirilmistir CVE 2017 5753 sinir denetimini atlama Spectre V1 ve CVE 2017 5715 dal hedefi ekleme Spectre V2 JIT motorlari icin kullanilan JavaScript savunmasiz bulunmustur Bu zaafiyet bir web sitesinin tarayicida bir baska websitesi icin saklanan verileri veya tarayicinin belleginin kendisini okuyabilmesinden kaynaklanmaktadir 15 Mart 2018 de Intel Spectre ve ilgili Meltdown guvenlik aciklarina Spectre V1 degil ozellikle Spectre V2 ve Meltdown V3 e karsi koruma sagmak icin islemcilerini performans kayiplari aciklanmak uzere yeniden tasarlayacagini bildirdi Yeniden tasarlanan islemcilerin 2018 de daha sonra piyasaya surulmesi bekleniyor Tarihce2002 ve 2003 yillarinda Yukiyasu Tsunoo ve NEC den meslektaslari sirasiyla MISTY ve DES e nasil saldirilacagini gosterdi 2005 te Illinois Universitesi nden Daniel Bernstein bir onbellek zamanlama saldirisi yoluyla OpenSSL AES anahtarinin elde edilebilecegini bildirdi ve Colin Percival Intel islemcinin onbellegini kullanarak OpenSSL RSA anahtarinda calisan bir saldiriyi elde etmis oldu 2013 yilinda Adelaide Universitesi nden Yuval Yarom ve Katrina Falkner verilere erisim suresinin olculmesinin bilginin onbellekten okunup okunmadigi konusunda casusluk uygulamasinin nasil tahmin edilecegini gosterdi Onbellekten okundugunda erisim suresi cok kisa olmaktaydi ve okunan veriler sifreleme algoritmalarinin ozel anahtarini icerebilmekteydi Bu teknik GnuPG AES ve diger kriptografik uygulamalara basarili bir sekilde saldirmak icin kullanildi Anders Fogh Ocak 2017 de Ruhruniversitat Bochum da ozellikle birden fazla islemci cekirdegi tarafindan kullanilan bir boru hattina sahip islemcilerde gizli kanallari otomatik olarak bulma konusunda bir sunum yapti Spectre Google daki dan Jann Horn ve Paul Kocher tarafindan Daniel Genkin Mike Hamburg Moritz Lipp Yuval Yarom ile isbirligi ile bagimsiz olarak kesfedildi Microsoft Guvenlik Acigi Arastirmasi tarayicilarin JavaScript JIT motorlarina genisletildi 3 Ocak 2018 de etkilenen donanim tedarikcilerinin konunun 1 Haziran 2017 de farkina varmasindan sonra baska bir zayiflik olan Meltdown ile birlikte kamuoyuna aciklandi Bu guvenlik acigi Kok neden spekulatif yurutume dayaniyor Duzeltilmesi kolay olmadigindan oldukca uzun bir sure bizi rahatsiz edecektir seklinde aciklandigi icin Spectre olarak adlandirildi 28 Ocak 2018 de Intel in kusurlar hakkinda ABD ye haber vermeden once Cin in teknoloji sirketlerine Meltdown ve Spectre guvenlik aciklari hakkindaki haberleri paylastigi bildirildi 29 Ocak 2018 de Microsoft un daha once Intel in Varyant 2 saldirisi icin Intel tarafindan yayinlanan sorunlu mikrokod duzeltmesini olasi yeniden baslatmalara kararliliga ve veri kaybina bozulma sorunlarina neden olan devre disi birakan bir Windows guncellemesi yayinladigi bildirildi Yeni Microsoft yamasinin yuklenmesiyle ilgili endiseler yasandigi bildirildi Ayrintili aciklamaSpectre bir programi programin bellek alanindaki rastgele konumlara erismeye zorlayan bir guvenlik acigidir Bir saldirgan erisilen bellegin icerigini okuyabilir ve bu sayede potansiyel olarak onemli veriler alabilir Spectre teknik incelemesinde duzeltilmesi kolay sadece bir guvenlik acigi yerine bir dizi olasi guvenlik aciklari anlatilmaktadir Bunlarin hepsi yan etkilerini gizlemenin yaygin bir yolunu ve modern mikroislemcilerde yurutmeyi hizlandirmayi temel alir Spectre bilhassa spekulatif yurutmenin ozel bir durumu olan dallanma ongorusu uzerine odaklanmaktadir Ayni zamanda aciklanan ilgili Meltdown aciginin aksine Spectre tek bir islemcinin bellek yonetimi ve koruma sisteminin belirli bir ozelligine dayanmaz daha genellestirilmis bir fikirdir Beyaz kagidin baslangic noktasi sirasiz yurutme yapan modern mikroislemcilerden olusan dallanma ongorusu makinelerine uygulanan bir yan kanal zamanlama saldirisidir Islemci veri defterlerinde belgelenen mimari duzeyde yanlis tahmin sonuclarinin gercegin ardindan iptal edilmesinden sonra bile ortaya cikan spekulatif yurutme yuklenen onbellek cizgileri gibi yan etkileri hala kalmis olabilmektedir Bunlar daha sonra bilgi islem ortaminin sozde islevsel olmayan yonlerini etkileyebilir Bu tur yan etkiler bellek erisim zamanlamasi dahil ancak bunlarla sinirli olmamak uzere kotu amacli bir program tarafindan gorulebilir ve kurbanin islemi tarafindan tutulan hassas verilere dayanacak sekilde tasarlanabilirse bu yan etkiler hassas verilerin fark edilebilir hale gelmesine neden olabilir Bu tasarlandigi gibi calisan mimarlik duzeyinde guvenlik duzenlemelerine ragmen gerceklesebilir Bu durumda kod yurutmesi icin daha alt mikromimari seviyesinde yapilan optimizasyonlarin normal program yurutme dogrulugu icin gerekli olmayan bilgiler sizdirabilmektedir Spectre makalesi saldiriyi dort temel adimda aciklar Ilk olarak modern islemcilerdeki dallanma ongorusu mantiginin kotu amacli bir programin ic isleyisine dayanarak guvenilir bir sekilde vuracak ya da kacirabilecek sekilde egitilebilecegini gostermektedir Daha sonra onbellek isabetleri ile kacirmalari arasindaki sonraki farkin guvenilir bir sekilde zamanlanabilecegini gostermek icin devam eder boylece basit bir islevsel olmayan farkin olmasi aslinda ilgisiz bir surecin ic calismalarindan gelen bilgileri ayiklayan gizli bir kanala donusturulebilir Ucuncusu sonuclar basit bir ornek program ve bir altinda calistirilan bir JavaScript pasaji ile istismarlari ve diger ilkeler ile sonuclari sentezler her iki durumda da magdur surecinin tum adres alani yani calisan bir programin icerigi bir stok derleyicisinin veya mevcut bir tarayicida mevcut olan JavaScript makinesinin olusturdugu koddaki kosullu dallarin spekulatif yurutmesini basitce kullanarak okunabilir olarak gosterilmektedir Temel fikir spekulasyonun erisilemeyen veriler uzerine dokundugu yerler icin mevcut kodu aramak islemciyi spekulatif yurutmenin bu verilere temas etmesi gereken bir duruma gecirmesi ve daha sonra islemcinin yan etkisinden faydalanarak daha hizli olmasi icin kullanilan on bellege alma makinelerini gercekten bir onbellek hatti yukleyecek sekilde zamanlamaktir Son olarak makale saldiriyi magdur surecinin islevsel olmayan herhangi bir durumuna genellestirerek sona ermektedir Bu durum veriyolu tahkim gecikmesi gibi belirgin olmayan islevsel olmayan etkileri bile kisaca tartisir Spectre ve Meltdown arasindaki temel fark Spectre nin bir islemi kendi verilerini aciga cikarmak icin kullanmasidir Ote yandan Meltdown surecin normalde erisemedigi bir surec adres alaninda okumak icin kullanilabilir bazi korumasiz isletim sistemlerinde bu cekirdege veya diger islemlere ait verileri icerir Meltdown makalesi bu iki zafiyeti su sekilde ayirmaktadir Meltdown Spectre saldirilarindan ozellikle Spectre nin kurban surecinin yazilim ortamina gore uyarlanmasini gerektirdigi ancak daha genis bir sekilde CPU lara uygulanmasini gerektirdigi ve tarafindan hafifletilmedigi gibi bircok acidan farklidir Uzaktan calistirma Spectre C veya C gibi derlenmis bir dil ile yerel olarak makine kodunun calistirilmasiyla acigin istismar edilmesinin daha kolay olmasina ragmen uzak web sayfalarinda barindirilan kod tarafindan uzaktan da kullanilabilir Ornegin JavaScript gibi web tarayicisi kullanilarak yerel olarak calisan yorumlanmis diller Kodlanmis kotu amacli yazilim calisan tarayicinin adres alanina eslenen tum bellege erisebilir Uzaktan erisimde JavaScript kullanan istismar yerel makine kodu istismarininkine benzer bir akis izler Flos Onbellek Mistrain Branch Predictor Zamanlanmis Okumalar isabet etti etmedi takibi JavaScript te clflush komutunu onbellek satiri flos kullanmak icin uygunlugun olmamasi alternatif bir yaklasim gerektirmektedir Islemcinin secebilecegi birkac otomatik politikasi vardir ve bu istismarin calismasi icin tahliyenin zorlanabilmesine guvenmekteyiz Ilk dizinin arkasinda birkac iterasyon tutulan buyuk dizide ikinci bir endeks kullanilmasinin en az kullanilan LRU politikanin kullanilmasina neden olacagi bulunmustur Bu istismarin buyuk bir veri kumesinde artan sayida okuma yaparak onbellegi etkin bir sekilde temizlemesine olanak tanir Daha sonra dallanma ongorucusu endeksi aralikli degerlere ayarlamak icin bitsel islemleri kullanarak cok buyuk bir veri kumesi uzerinde yinelemek ve ardindan son yinelemede sinir disi adresi kullanmak suretiyle yeniden denetlenir Bir okuma kumesinin bir onbellek isabeti veya onbellek kacirmasina neden olup olmadigini belirlemek icin yuksek hassasiyetli bir zamanlayici gerekir Chrome Firefox ve Tor Firefox a dayali gibi tarayicilar zamanlayicilarin cozumune Spectre istismarinda istenen onbellek vurulma kacirma olup olmadigini belirlemek icin kisitlamalar koydu Beyaz kagidin yazilmasi sirasinda Spectre yazari HTML5 in ozelligini kullanarak yuksek hassasiyetli bir zamanlayici olusturabildi Tam zamaninda derleme JIT derleyicisi tarafindan yurutulen makine kodunun dikkatli kodlamasi ve analizi onbellek temizlemenin ve istismarci okumalarin optimize edilmediginden emin olmak icin gerekliydi Etkisi2018 itibariyla hemen hemen her bilgisayar sistemi masaustu bilgisayarlar dizustu bilgisayarlar ve mobil cihazlar dahil olmak uzere Spectre den etkilenmektedir Spectre nin spesifik olarak Intel AMD ARM tabanli ve IBM islemciler uzerinde calistigi gorulmustur Intel bildirilen guvenlik aciklarina resmi bir aciklama ile yanit verdi AMD islemcilerinin Spectre V1 e karsi savunmasizligini kabul etti ancak mimarisindeki farkliliklardan dolayi sifira yakin istismar barindirma riski iddiasiyla islemcileri uzerinde Spectre V2 ye yonelik guvenlik acikliginin henuz bulunmadigini belirtti Arastirmacilar Spectre aciginin bazi Intel AMD ve ARM islemcileri etkileyebilecegini belirttiler Ozellikle spekulatif yurutum yapan islemciler bu guvenlik aciklarindan etkilenmektedir ARM islemcilerinin cogunun savunmasiz olmadigini belirtti ve Spectre acigindan etkilenen belirli islemci cekirdeklerinin bir listesini yayinladi Cortex R7 Cortex R8 Cortex A8 Cortex A9 Cortex A15 Cortex A17 Cortex A57 Cortex A72 Cortex A73 ve ARM Cortex A75 Spectre bulut saglayicilar uzerinde Meltdown dan daha buyuk bir etki yapma potansiyeline sahiptir Meltdown yetkisiz uygulamalarin ayni bulut sunucusunda calisan islemlerden hassas veriler elde etmek icin ayricalikli bellekten okumalarina izin verirken Spectre kotu amacli programlarin verileri ustte calisan bir konuk sisteme iletmek uzere bir manipule edilerek calistirilmasina izin verebilmektedir HafifletmeSpectre butun bir saldiri sinifini temsil ettiginden buyuk olasilikla bunun icin tek bir yama yapilmasi mumkun degildir Guvenlik acigi olan ozel durumlari ele almak icin simdiden calismalar yapilmakta iken Spectre ve a ayrilmis orijinal web sitesi sunu belirtmektedir Spectre nin duzeltmesi kolay olmadigi gibi uzun bir sure boyunca bizi rahatsiz edecektir Ayni zamanda DELL bilgisayarlarina gore Arastirmacilar kavram kaniti uretmis olsalar da Bu guvenlik aciginin yani Meltdown ve Spectre nin hicbiri 7 Subat 2018 tarihine dek gercek zamanli bir istismara maruz kalmadigini rapor edilmistir Ev bilgisayarlarini ve ilgili cihazlari guvenlik acigindan korumaya yardimci olacak birkac prosedur yayinlanmistir Spectre yamalarinin ozellikle eski bilgisayarlarda performansi onemli olcude yavaslattigi bildirilmistir daha yeni olan sekizinci nesil Core platformlarinda yuzde 2 ile 14 arasinda benchmark performans dususleri olculmustur 18 Ocak 2018 de Meltdown ve Spectre yamalari nedeniyle daha yeni Intel ciplerinde bile istenmeyen yeniden baslatmalar rapor edilmistir Etki azaltma maliyetinin Intel 64 mimarisi altinda PCID olarak adlandirilan bir ozellik olan ve bir adres alani numarasi ASN olan Alpha altinda secici etkin sayfalar onbellegi TLB bosaltimi ozelligi olan islemciler tarafindan azaltilabilecegi onerilmistir Bunun nedeni secici bosaltimin ESO davranisinin tum ESO yu bosaltmadan islemler arasinda izole edilmek uzere ESO nun davranis acisindan hayati oneme sahip olmasini saglamasidir Mart 2018 de Intel Spectre V1 icin degil yalnizca Meltdown V3 ve Specter V2 icin donanim duzeltmeleri gelistirdigini acikladi Guvenlik aciklari sureci ve ayricalik duzeyini ayirmayi gelistiren yeni bir bolumleme sistemi tarafindan azaltildi Microsoft Windows taki azaltma ozeti Kaynak hatasi Acilis lt ref gt etiketi hatali bicimlendirilmis veya hatali bir ada sahip Bkz Kaynak gosterme Guvenlik acigi CVE Istismar adi Genel guvenlik acigi adi Windows degisiklikleri Donanim yazilimi degisiklikleriSpectre 2017 5753 Varyant 1 Sinir Denetimini Atlama Yeni bir derleyici ile yeniden derleme JavaScript ten yararlanmayi onlemek icin Sertlestirilmis Tarayici HayirSpectre 2017 5715 Varyant 2 Dallanma Hedefi Enjeksiyonu Dallanma spekulasyonunu ortadan kaldiran yeni CPU talimatlari EvetMeltdown 2017 5754 Varyant 3 Sahte Veri Onbellek Yukleme Izole cekirdek ve kullanici modu sayfa tablolari HayirSpectre NG 2018 3640 Varyant 3a Rogue System Register Read RSRR EvetSpectre NG 2018 3639 Varyant 4 Speculative Store Bypass SSB EvetSpectre NG 2018 3665 Lazy FP State RestoreSpectre NG 2018 3693 Varyant 1 1 Bounds Check Bypass Store BCBS Spectre Varyant 1 2 Read only protection bypass RPB SpectreRSB Return MispredictOzel yazilim Ev bilgisayarlarinin ve ilgili cihazlarin bu guvenlik acigindan korunmasina yardimci olacak birkac prosedur yayinlandi Ilk hafifletme cabalari tamamen sorunsuz degildi Ilk basta ozellikle eski bilgisayarlarda Spectre yamalarinin performansi onemli olcude azalttigi bildirildi Nispeten yeni olan sekizinci nesil Core platformlarinda 2 14 oraninda benchmark performans dususleri olculdu 18 Ocak 2018 de nispeten yeni Intel ciplerinde bile istenmeyen yeniden baslatmalar bildirildi Web sitelerine yerlestirilmis JavaScript kodlari araciligiyla Spectre in kullanilmasi mumkun oldugundan Chrome 64 saldiriya karsi varsayilan olarak hafifletme onlemleri icerecektir Chrome 63 kullanicilari Site Yalitim ozelligini etkinlestirerek saldiriyi manuel olarak azaltabilir chrome flags enable site islem basina Mozilla zamanlama saldirilarinin engellenmesine yardimci olmak icin Firefox 57 0 4 ten itibaren JavaScript zamanlayicilarinin cozunurlugunu azaltmakta ve gelecekteki surumler icin planlanan zamana hitap eden teknikler uzerinde ek calismalar gerceklestirmektedir Genel yaklasimlar ve tartismalar Google 4 Ocak 2018 de guvenlik blogunda Retpoline donus trambolini adi verilen ve ihmal edilebilir miktarda islemci yuku ile birlikte Spectre aciginin ustesinden gelebilecek yeni bir teknik acikladi Derleyici seviyesinde dogrudan olmayan dallanmalarin istismara yol acmayacak spekulatif sirasiz yurutmenin gerceklestirildigi baska bir hedefe yonlendirilmesi ile yapilmaktadir x86 komut kumesi icin gelistirilmis olsa da Google muhendisleri teknigin diger islemcilere de aktarilabilecegini dusunmekteler 25 Ocak 2018 de Meltdown ve Spectre aciklarini cozmek icin mevcut durum ve gelecekte dikkate alinacak hususlar sunuldu Intel Spectre hafifletme isleminin bir hata olmak yerine guvenlik ozelligi olarak kullanilabilecegini duyurdugunda Linux un yaraticisi Linus Torvalds yamalari kesin ve tamamen cop olarak adlandirdi Daha sonra Indirekt Dal Sinirli Spekulasyon IBRS mikrokod destegi olmadan Spectre i duzeltmek icin Linux cekirdeginde islev izleme makinelerinin kullanilmasini onerdi Bu sonuc olarak sadece Intel ve daha yeni mimariye dayanan islemciler uzerinde bir performans etkisine sahip olacakti Ayrica bakinizMeltdown guvenlik acigi Kaynakca Greenberg Andy 3 Ocak 2018 A Critical Intel Flaw Breaks Basic Security for Most Computers Wired 14 Mart 2018 tarihinde kaynagindan Erisim tarihi 3 Ocak 2018 Bright Peter 5 Ocak 2018 Meltdown and Spectre Here s what Intel Apple Microsoft others are doing about it Ars Technica 6 Mart 2018 tarihinde kaynagindan Erisim tarihi 6 Ocak 2018 Staff 2018 8 Nisan 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 3 Ocak 2018 Metz Cade Perlroth Nicole 3 Ocak 2018 Researchers Discover Two Major Flaws in the World s Computers The New York Times ISSN 0362 4331 3 Ocak 2018 tarihinde kaynagindan Erisim tarihi 3 Ocak 2018 Warren Tom 3 Ocak 2018 Intel s processors have a security bug and the fix could slow down PCs The Verge 3 Ocak 2018 tarihinde kaynagindan Erisim tarihi 3 Ocak 2018 Microsoft 9 Ocak 2018 7 Nisan 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 2 Nisan 2018 Meltdown Spectre The password theft bugs at the heart of Intel CPUs 4 Ocak 2018 4 Nisan 2018 tarihinde kaynagindan Erisim tarihi 2 Nisan 2018 Warren Tom 15 Mart 2018 Intel processors are being redesigned to protect against Spectre New hardware coming later this year The Verge 21 Nisan 2018 tarihinde kaynagindan Erisim tarihi 15 Mart 2018 Shankland Stephen 15 Mart 2018 Intel will block Spectre attacks with new chips this year Cascade Lake processors for servers coming this year will fight back against a new class of vulnerabilities says CEO Brian Krzanich CNET 23 Nisan 2018 tarihinde kaynagindan Erisim tarihi 15 Mart 2018 Coldewey Devin 15 Mart 2018 Intel announces hardware fixes for Spectre and Meltdown on upcoming chips TechCrunch 7 Nisan 2018 tarihinde kaynagindan Erisim tarihi 28 Mart 2018 Y Tsunoo E Tsujihara K Minematsu H Miyauchi Cryptanalysis of Block Ciphers Implemented on Computers with Cache ISITA 2002 2002 Cryptanalysis of DES Implemented on Computers with Cache Cryptanalysis of DES Implemented on Computers with Cache Yukiyasu Tsunoo Teruo Saito Tomoyasu Suzaki Maki Shigeri and Hiroshi Miyauchi Cryptographic Hardware and Embedded Systems CHES 2003 5th International Workshop Cologne Germany September 8 10 2003 Cache timing attacks on AES 7 Haziran 2011 tarihinde Wayback Machine sitesinde Daniel J Bernstein April 14 2005 Cache missing for fun and profit 14 Mayis 2011 tarihinde Wayback Machine sitesinde Colin Percival presented at BSDCan 05 May 2005 Conference presentation slides 12 Aralik 2018 tarihinde Wayback Machine sitesinde Superseded by Cache missing for fun and profit 19 Mayis 2018 tarihinde Wayback Machine sitesinde October 2005 FLUSH RELOAD A High Resolution Low Noise L3 Cache Side Channel Attack 5 Mart 2018 tarihinde Wayback Machine sitesinde Yuval Yarom and Katrina Falkner The University of Adelaide 23rd USENIX Symposium August 22 24 2014 San Diego CacheBleed A Timing Attack on OpenSSL Constant Time RSA 12 Aralik 2018 tarihinde Wayback Machine sitesinde uval Yarom and Daniel Genkin and Nadia Heninger CHES 2016 Yuval Yarom referring to the history September 21 2016 Anders Fogh Covert shotgun Automatically finding covert channels in SMT 12 Aralik 2018 tarihinde Wayback Machine sitesinde Ruhruniversitat Bochum HackPra channel from the Chair of Network and Data Security January 12 2017 Fogh describing a Side Channel using fashioned listening to a safe while turning its wheel 12 Aralik 2018 tarihinde Wayback Machine sitesinde Mozilla 14 Mart 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 2 Nisan 2018 Gibbs Samuel 4 Ocak 2018 Meltdown and Spectre worst ever CPU bugs affect virtually all computers The Guardian 12 Mart 2018 tarihinde kaynagindan Erisim tarihi 6 Ocak 2018 spectreattack com 8 Nisan 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 2 Nisan 2018 Lynley Matthew 28 Ocak 2018 Intel reportedly notified Chinese companies of chip security flaw before the U S government TechCrunch 16 Subat 2018 tarihinde kaynagindan Erisim tarihi 28 Ocak 2018 Tung Liam 29 Ocak 2018 Windows emergency patch Microsoft s new update kills off Intel s Spectre fix The out of band update disabled Intel s mitigation for the Spectre Variant 2 attack which Microsoft says can cause data loss on top of unexpected reboots 4 Nisan 2018 tarihinde kaynagindan Erisim tarihi 29 Ocak 2018 Staff 26 Ocak 2018 Update to Disable Mitigation against Spectre Variant 2 Microsoft 31 Mart 2018 tarihinde kaynagindan Erisim tarihi 29 Ocak 2018 Leonhard Woody 29 Ocak 2018 Windows surprise patch KB 4078130 The hard way to disable Spectre 2 Disabling the disruptive Spectre 2 bugs in Intel processors has always been quite straightforward but on Friday night Microsoft released a download only patch that also does the job You probably don t want it 29 Ocak 2018 tarihinde kaynagindan Erisim tarihi 29 Ocak 2018 2018 8 Nisan 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 2 Nisan 2018 PDF 2018 3 Nisan 2018 tarihinde kaynagindan PDF arsivlendi Erisim tarihi 2 Nisan 2018 Spectre Attack Whitepaper PDF 3 Nisan 2018 tarihinde kaynagindan PDF Erisim tarihi 8 Subat 2018 Staff 2018 8 Nisan 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 4 Ocak 2018 Busvine Douglas Nellis Stephen 3 Ocak 2018 Security flaws put virtually all phones computers at risk Reuters Thomson Reuters 3 Nisan 2018 tarihinde kaynagindan Erisim tarihi 3 Ocak 2018 Potential Impact on Processors in the POWER family 2018 3 Nisan 2018 tarihinde kaynagindan Erisim tarihi 2 Nisan 2018 Staff 3 Ocak 2018 Intel 7 Nisan 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 4 Ocak 2018 Who s affected by computer chip security flaw 4 Ocak 2018 tarihinde kaynagindan Erisim tarihi 2 Nisan 2018 Kernel memory leaking Intel processor design flaw forces Linux Windows redesign The Register 2 Ocak 2018 7 Nisan 2018 tarihinde kaynagindan Erisim tarihi 2 Nisan 2018 Staff 2018 8 Nisan 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 4 Ocak 2018 Busvine Douglas Nellis Stephen 3 Ocak 2018 Security flaws put virtually all phones computers at risk Reuters Thomson Reuters 3 Nisan 2018 tarihinde kaynagindan Erisim tarihi 3 Ocak 2018 15 Mart 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 2 Nisan 2018 ARM Developer 3 Ocak 2018 4 Nisan 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 5 Ocak 2018 Fox Brewster Thomas 3 Ocak 2018 Massive Intel Vulnerabilities Just Landed And Every PC User On The Planet May Need To Update Forbes Forbes Media LLC 21 Subat 2018 tarihinde kaynagindan Erisim tarihi 3 Ocak 2018 Staff 7 Subat 2018 Dell 27 Ocak 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 11 Subat 2018 Staff 7 Subat 2018 Dell 5 Mart 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 11 Subat 2018 Hachman Mark 9 Ocak 2018 9 Subat 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 9 Ocak 2018 Computer chip scare What you need to know BBC News 4 Ocak 2018 21 Subat 2018 tarihinde kaynagindan Erisim tarihi 4 Ocak 2018 Intel says processor bug isn t unique to its chips and performance issues are workload dependent The Verge 3 Ocak 2018 tarihinde kaynagindan Erisim tarihi 4 Ocak 2018 How To Geek 20 Ocak 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 2 Nisan 2018 Smith Ryan 15 Mart 2018 25 Mart 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 20 Mart 2018 Sometimes misspelled as RSRE Metz Cade Chen Brian X 4 Ocak 2018 What You Need to Do Because of Flaws in Computer Chips The New York Times 6 Ocak 2018 tarihinde kaynagindan Erisim tarihi 5 Ocak 2018 Pressman Aaron 5 Ocak 2018 Why Your Web Browser May Be Most Vulnerable to Spectre and What to Do About It Fortune 10 Ocak 2018 tarihinde kaynagindan Erisim tarihi 5 Ocak 2018 Chacos Brad 4 Ocak 2018 7 Ocak 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 4 Ocak 2018 Elliot Matt 4 Ocak 2018 Security How to protect your PC against the Intel chip flaw Here are the steps to take to keep your Windows laptop or PC safe from Meltdown and Spectre CNET 6 Nisan 2018 tarihinde kaynagindan Erisim tarihi 4 Ocak 2018 Tung Liam 18 Ocak 2018 Meltdown Spectre Intel says newer chips also hit by unwanted reboots after patch Intel s firmware fix for Spectre is also causing higher reboots on Kaby Lake and Skylake CPUs 20 Ocak 2018 tarihinde kaynagindan Erisim tarihi 18 Ocak 2018 Kocher Paul Genkin Daniel Gruss Daniel Haas Werner Hamburg Mike Lipp Moritz Mangard Stefan Prescher Thomas Schwarz Michael 2018 Spectre Attacks Exploiting Speculative Execution PDF 3 Ocak 2018 tarihinde kaynagindan PDF Erisim tarihi 2 Nisan 2018 Google s Mitigations Against CPU Speculative Execution Attack Methods 3 Ocak 2018 tarihinde kaynagindan Erisim tarihi 4 Ocak 2018 4 Ocak 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 4 Ocak 2018 PDF White Paper 336983 001 Revision 1 0 Intel Ocak 2018 s 5 1 Mayis 2018 tarihinde kaynagindan PDF arsivlendi Erisim tarihi 11 Ocak 2018 second technique introduces the concept of a return trampoline also known as retpoline 5 Ocak 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 2 Nisan 2018 8 Nisan 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 2 Nisan 2018 Paul Turner Retpoline a software construct for preventing branch target injection Google Help 5 Ocak 2018 tarihinde kaynagindan Erisim tarihi 2 Nisan 2018 Hachman Mark 25 Ocak 2018 12 Mart 2018 tarihinde kaynagindan arsivlendi Erisim tarihi 26 Ocak 2018 WHAT THE F CK IS GOING ON Linus Torvalds explodes at Intel spinning Spectre fix as a security feature Patches slammed as complete and utter garbage as Chipzilla U turns on microcode 4 Nisan 2018 tarihinde Wayback Machine sitesinde The Register January 22 2018 Molnar suggesting to use function tracing 25 Ocak 2018 tarihinde Wayback Machine sitesinde Re RFC 09 10 x86 enter Create macros to restrict unrestrict Indirect Branch Speculation 24 Ocak 2018 tarihinde Wayback Machine sitesinde Ingo Molnar January 23 2018 IBRS patch series 19 Ocak 2018 tarihinde Wayback Machine sitesinde Intel January 4 2018 Konuyla ilgili yayinlarKocher Paul Genkin Daniel Gruss Daniel Haas Werner Hamburg Mike Lipp Moritz Mangard Stefan Prescher Thomas Schwarz Michael 2018 Spectre Attacks Exploiting Speculative Execution PDF 3 Ocak 2018 tarihinde kaynagindan PDF Erisim tarihi 2 Nisan 2018 WRITEUP 59 9 KB Project Zero Monorail 13 Ocak 2018 tarihinde kaynagindan Erisim tarihi 2 Nisan 2018 Dis baglantilarWeb sitesi Meltdown ve Spectre aciklari Graz Universitesi ev sahipliginde Teknoloji detaylandirma3 Ocak 2018 tarihinde Wayback Machine sitesinde Sifir Google Proje yazma up7 Ocak 2018 tarihinde Wayback Machine sitesinde Meltdown Spectre Denetleyicisi 20 Haziran 2018 tarihinde Wayback Machine sitesinde Gibson Research Corporation

Yayın tarihi: Temmuz 17, 2024, 06:30 am
En çok okunan
  • Kasım 22, 2024

    Ubuyama

  • Kasım 22, 2024

    Sagara, Japonya

  • Kasım 22, 2024

    Nishihara, Kumamoto

  • Kasım 22, 2024

    Minamiaso

  • Kasım 22, 2024

    Mizukami

Günlük

  • Türkçe

  • Illinois

  • Adler Planetaryumu

  • Henry Moore

  • National Historic Landmark

  • 22 Kasım

  • John F. Kennedy

  • Angela Merkel

  • Örümcek

  • Kümbet Camii

NiNa.Az - Stüdyo

  • Vikipedi

Bültene üye ol

Mail listemize abone olarak bizden her zaman en son haberleri alacaksınız.
Temasta ol
Bize Ulaşın
DMCA Sitemap Feeds
© 2019 nina.az - Her hakkı saklıdır.
Telif hakkı: Dadaş Mammedov
Üst