2010'larda en çok duyurulan güvenlik açıklarından ikisi birbiriyle çok yakından ilişkiliydi. Spectre ve Meltdown, yazılımdaki güvenlik açıkları olmaktan ziyade, CPU'ların temel tasarımındaki, sorunun çözülmesini zorlaştıran güvenlik açıklarıdır. Sorunların kendileri özellikle ciddidir ve diğer uygulamalardan ve işletim sisteminden bellek ifşasına izin verir.
genel bakış
CPU'lar, spekülatif yürütme ve dal tahmini gibi teknikler dahil olmak üzere en yüksek performansı elde etmek için inanılmaz derecede gelişmiş tasarımlar kullanır. Spekülatif yürütme, CPU'nun ihtiyaç duyduğunu belirlediğinde zaman kazanmak amacıyla, ihtiyacı olup olmadığını bilmeden önce bir işlemi çalıştırmaya başladığı yerdir. Dal tahmini, bir sürecin sonucunu tahmin etmeye çalışan ve daha sonra spekülatif yürütmenin bir alt kümesidir. CPU'nun bir dizi talimatı yürütmesine izin veren bu tahmin edilen değere dayalı olarak bir sonraki adımı hesaplamaya başlar. Emir.
Spectre güvenlik açığı, bu iki özelliğin uygulanmasından kaynaklanmaktadır. Bir uygulamanın, parolalar ve şifreleme anahtarları gibi sırlar da dahil olmak üzere belleğin ifşa edilmesine olanak tanıyan çoğu modern yazılımda yerleşik olan bellek yalıtım tekniklerini ihlal etmesine olanak tanır. Spectre ile ilgili sorunlardan biri, verilere yalnızca kötü amaçlı bir program gerektiğinden herhangi bir güvenlik açığı olmayan uygulamalardan erişilebilmesidir.
Meltdown güvenlik açığı, yukarıda bahsedilen spekülatif yürütme sisteminin yanı sıra bazı bellek tekniklerine dayanmaktadır. İşlem yürütme ve ayrıcalık kontrolü arasında bir "yarış koşulu" kullanır ve kötü niyetli bir programın diğer uygulamaların ve işletim sisteminin belleğine erişmesine izin verir.
İpucu: "Yarış koşulu", bir görevin diğerine bağlı olması gerektiği ancak doğru yürütme sırasının uygulanmadığı bir sorundur. Bu, "ikinci" işlemin önce çalışmasına ve "ilk" işlemin sonucunu içermesi gereken başlatılmamış belleği kullanmasına ve bu belleğin önceki içeriğini sızdırmasına neden olabilir. Bu özel durumda, bir izin denetimi izin verildiğini doğrulayana kadar süreç çalışmamalıdır, ancak performans optimizasyonları nedeniyle izin denetimi ikinci sırada gerçekleşebilir.
Etkileri
2017'nin ortalarında birden fazla ekip bağımsız olarak hem Meltdown hem de Spectre'ı keşfetti ve yamaları geliştiren CPU üreticilerine özel olarak bildirdi. Performans optimizasyonlarını hedefleyen yamalar nedeniyle, CPU'ların performansını şu ana kadar düşürdüler: %2-14'lük bir performans düşüşü ile en kötü durum senaryolarında %30'luk bir performans düşüşü, insanların deneyimler.
Güvenlik açıkları birçok x86 CPU'yu, IBM POWER CPU'yu ve bazı ARM tabanlı CPU'ları etkiledi. Meltdown, genellikle kişisel bilgisayarlarda ve bulut sunucularında bulunan donanımı etkiler. Spectre kişisel bilgisayarları, bulut sunucularını ve mobil cihazları etkiler. 1995'ten 2018'in ortasına kadar tüm Intel CPU'lar sorunlara karşı savunmasızdı (2013'ten önce Itanium ve Atom serileri hariç tutularak). AMD CPU'ları Meltdown'dan etkilenmedi ancak Spectre'a karşı savunmasızdı.
Yazılım azaltma yamaları, sorunların çoğunu çözen işletim sistemi sağlayıcıları aracılığıyla geliştirildi ve yayınlandı. 2018'in ortasından bu yana Intel, CPU tasarımlarını sorunlar için donanım azaltmalarını içerecek şekilde güncelledi.
Her iki sorun da hazırlanmış JavaScript içeren kötü amaçlı web sayfaları aracılığıyla kullanılabilir, bu nedenle performans kaybı olsa bile her sistemde güvenlik yamalarının kurulu olduğundan emin olun. haşin. Ne yazık ki, sorunlar derin ağlarla son derece karmaşık sorunlar olduğu için tek bir yama ile çözülemez. donanıma entegrasyon, güvenlik yamaları daha yeni varyantlar çıktıkça zaman içinde yayılmaya devam edecek. keşfetti.