研究人员谈论潜在的没有性能成本的 CPU 安全漏洞缓解措施
一位安全研究员在上周末的自由和开源软件开发者欧洲会议(FOSDEM)上围绕缓解像Spectre和Meltdown这样的处理器漏洞发表演讲,所提出的方式力求让性能成本可以忽略不计。
Cyberus科技公司的Sebastian Eydam在2022年FOSDEM会议上发言,谈到有可能在几乎没有性能成本的情况下缓解像Spectre和Meltdown这样的处理器漏洞。然而,目前这种方式处于安全研究阶段,而且只使用Hedron微型管理程序进行了原型测试。
这个替代现有软件缓解技术的缓解策略是将内核中与进程相关的信息转移到内核地址空间的进程本地部分。反过来,用户空间的攻击者将只能推断自己进程的信息,而不能推断其他进程的信息。
Eydam在他的摘要中总结道:”这种替代性的缓解措施涉及将内核中与进程相关的信息移到内核地址空间的进程本地部分。一个能够推断出其相关的内核页表内容的用户空间攻击者因此只能读取关于其自身进程的信息。在这些内核地址空间之间的切换是在不同进程的线程被安排时作为正常地址空间切换的一部分进行的,因此没有额外的性能开销。”
除了可能的缓解策略对性能的影响较低外,它也将是独立于CPU的… 但目前它只是处于研究阶段,唯一公布的代码是在Hedron微处理器上做的原型设计工作(GitHub工作)。
因此,如果这种方式像人们谈论的那样好,与今天的缓解措施的巨大性能成本相比,将会是用户端的一个胜利。然而,到目前为止,似乎还没有对这项研究进行任何独立的批判性分析,更不用说任何拟议的Linux内核补丁或类似的东西来显示其在现实世界中的可行性。如果英特尔工程师在研究Spectre和Meltdown的大约五年时间里,没有在内部考虑和评估过这种 *** ,那也是令人惊讶的。
(消息及封面来源:cnBeta)
“研究人员谈论潜在的没有性能成本的 CPU 安全漏洞缓解措施” 的相关文章
俄罗斯 Sber 银行建议其客户暂时停止软件更新
受俄乌冲突影响,俄罗斯 Sber 银行建议其客户暂时停止安装任何应用程序的软件更新,因为担心这些软件可能包含专门针对俄罗斯用户的恶意代码,被一些人称为“抗议软件”(protestware)。 Sber 的公告写道:“目前,挑衅性媒体内容被引入免费分发的软件的情况已经变得更加频繁。此外,各种内容和...
开源倡议组织就俄乌冲突期间的乱象表态 不希望将开源工作“武器化”
在俄乌冲突爆发后的一个月时间里,许多组织机构纷纷颁布了针对俄罗斯的制裁。但是对于开源社区来说,将制裁的范围无限扩大,显然并不是声援乌克兰的最佳途径。开放源码倡议(Open Source Initiative)组织指出:尽管大多数软件开发者只是在运行时显示反战或亲乌克兰的信息,但还是有个别项目的维护者...
欧洲立法者对欧盟国家使用 Pegasus 间谍软件展开调查
欧洲议会周四投票决定成立一个新的 “调查委员会”,调查针对欧洲成员国获取和使用Pegasus(飞马)手机间谍软件的指控。议员们基本上投票赞成设立该委员会,该委员会将调查欧盟27个成员国使用Pegasus和其他监控间谍软件的情况。 调查委员会允许立法者调查可能违反欧洲法律的行为。欧洲议会在一份声明中说...
据称黑客泄露了多达 37GB 的来自微软的源代码
据称,一个黑客组织泄露了微软37GB的源代码,这些代码与包括Bing和Cortana在内的数百个项目有关,这是一系列重大网络安全事件中的最新一起。Lapsus$黑客组织在周一晚上公开发布了一个9GB的压缩文件。据称,该7zip档案包含了从微软获得的250多个内部项目。 据称这些数据来自微软的Az...
Pegasus 被发现用来感染加泰罗尼亚地区官员的 iPhone 手机
NSO集团用于入侵iPhone的间谍软件Pegasus陷入了另一桩间谍丑闻,该监视工具被用来对付西班牙加泰罗尼亚地区的民间社会和政治人物的设备。继2020年2020年的一份报告称加泰罗尼亚高级政治家Roger Torrent和支持独立的人通过WhatsApp成为“政府级间谍软件”的目标后,Citiz...
QNAP 修复了关键的 QVR 远程命令执行漏洞
近期,QNAP发布了几项安全公告,其中一项针对严重的安全问题,该问题允许在易受攻击的QVR系统上远程执行任意命令,该公司的视频监控解决方案托管在NAS设备上。QVR IP视频监控系统支持多重频道和跨平台视频解码,专为监控家庭和办公环境而设计。该漏洞编号为CVE-2022-27588,严重程度得分为...
评论列表
发表评论
