Weitere CPU-L체cken ret2spec und SpectreRSB entdeckt

Nach Bekannt짯wer짯den der Sicher짯heits짯l체짯cken in moder짯nen Pro짯zes짯sor-Designs Melt짯down und Spect짯re Anfang des Jah짯res, sowie der bis짯her nicht voll짯st채n짯dig ver짯철f짯fent짯lich짯ten, von der Pres짯se Spect짯re-NG genann짯ten Schwach짯stel짯len, sind nun wei짯te짯re L체cken 철ffent짯lich gewor짯den, die 횆hn짯lich짯kei짯ten zu den bis짯he짯ri짯gen Schwach짯stel짯len auf짯wei짯sen, im Detail aber den짯noch ande짯res sind: ret2spec oder auch Spect짯re v5 genannt, sowie Spec짯treRSB. Ent짯deckt wur짯den sie von Gior짯gi Mai짯su짯rad짯ze und Chris짯ti짯an Rossow vom Cen짯ter for IT-Secu짯ri짯ty, Pri짯va짯cy and Accoun짯ta짯bi짯li짯ty (CISPA) der Uni Saar짯land, sowie einem For짯scher짯team der Uni짯ver짯si짯ty of Cali짯for짯nia, River짯si짯de (UCR).

Die kom짯plet짯te Fami짯lie der seit Janu짯ar ans Licht gekom짯me짯nen L체cken nutzt das Ver짯hal짯ten moder짯ner Out-of-Order-Pro짯zes짯so짯ren, Befeh짯le nicht wie bei fr체짯he짯ren In-Order-Designs strikt in der Rei짯hen짯fol짯ge aus짯f체h짯ren, wie sie im Code ste짯hen. Statt짯des짯sen k철n짯nen OoO-Pro짯zes짯so짯ren Befeh짯le vor짯zie짯hen, w채h짯rend sie auf das Ergeb짯nis einer ande짯ren Berech짯nung war짯ten oder sogar mit des짯sen Ergeb짯nis spe짯ku짯lie짯ren (Spe짯cu짯la짯ti짯ve Exe짯cu짯ti짯on) und der짯weil mal mit dem Ergeb짯nis wei짯ter짯rech짯nen, von dem sie 쐌ei짯nen, dass es am wahr짯schein짯lichs짯ten ist. War die Spe짯ku짯la짯ti짯on kor짯rekt, hat der Pro짯zes짯sor jede Men짯ge Zeit gespart, weil die Berech짯nung bereits erle짯digt wur짯de, wohin짯ge짯gen ein In-Order-Design h채t짯te war짯ten m체s짯sen und erst dann h채t짯te wei짯ter짯rech짯nen k철n짯nen. Aller짯dings sind Out-of-Order-Designs wesent짯lich kom짯ple짯xer, denn die Pro짯zes짯so짯ren m체s짯sen sich mer짯ken, ab wel짯cher Code짯po짯si짯ti짯on spe짯ku짯liert wur짯de und in wel짯cher Rei짯hen짯fol짯ge der Code urspr체ng짯lich war, um das Puz짯zle aus ge채n짯der짯ter Rei짯hen짯fol짯ge und spe짯ku짯lier짯ten Ergeb짯nis짯sen am Ende wie짯der so zusam짯men짯zu짯set짯zen, dass das Ergeb짯nis stimmt.

Daf체r wer짯den ver짯schie짯de짯ne Puf짯fer ver짯wen짯det. Nor짯ma짯ler짯wei짯se sind die짯se Daten von au횩en nicht abgreif짯bar. Mit den Spect짯re-L체cken hin짯ge짯gen kann durch trick짯rei짯che Pro짯gram짯mie짯rung, soge짯nann짯te Sei짯ten짯ka짯nal짯at짯ta짯cken, ein Weg gefun짯den wer짯den, trotz짯dem an die짯se Daten her짯an짯zu짯kom짯men. Damit w채re es z.B. m철g짯lich, per Java짯script via Brow짯ser ein짯ge짯schleus짯ten Code daf체r zu ver짯wen짯den, aus eigent짯lich nicht zug채ng짯li짯chen Spei짯cher짯be짯rei짯chen z.B. Pass짯w철r짯ter oder Schl체s짯sel abzu짯grei짯fen. Daf체r exis짯tie짯ren auch Bei짯spiel짯codes, wie wir in den letz짯ten Mona짯ten bereits berich짯tet und ver짯linkt hat짯ten. Ein ech짯ter Angriff, also eine Aus짯nut짯zung der Spect짯re-L체cken in frei짯er Wild짯bahn, ist bis짯her jedoch nicht bekannt geworden.

Das Neue an ret2spec/Spectre v5 und Spec짯treRSB ist nun, dass nicht die Sprung짯adres짯sen f체r den Angriff genutzt wer짯den, son짯dern die R체ck짯sprung짯adres짯sen, also prak짯tisch ein umge짯kehr짯ter Spect짯re-Angriff. Um die Aus짯nut짯zung der L체cke zu erschwer짯den, wer짯den die sel짯ben Ma횩짯nah짯men emp짯foh짯len, die bereits bei Spect짯re zur Lin짯de짯rung ange짯wandt wur짯den: die Zeit짯mes짯sung der Brow짯ser soll unge짯nau짯er wer짯den, denn f체r einen erfolg짯rei짯chen Angriff ist das Timing ent짯schei짯dend. Daher haben die Brow짯ser-Her짯stel짯ler nach Bekannt짯wer짯den der ers짯ten L체cken die짯ser Art im Janu짯ar die von Skrip짯ten im Brow짯ser nutz짯ba짯ren Timer-Genau짯ig짯keit k체nst짯lich redu짯ziert. Als Lin짯de짯rung gegen Spec짯treRSB wird der Linux-Ker짯nel-Patch RSB refil짯ling vorgeschlagen.

In den PDFs der For짯scher wird haupt짯s채ch짯lich auf Intel-Pro짯zes짯so짯ren ein짯ge짯gan짯gen. Ob die Atta짯cken so auch 1:1 auf ande짯re Imple짯men짯tie짯run짯gen eines Out-of-Order-Designs z.B. von AMD oder ARM anwend짯bar sind, geht aus der Ver짯철f짯fent짯li짯chung bis짯her nicht her짯vor. Zumin짯dest haben AMD und ARM die L체cken grund짯s채tz짯lich best채짯tigt. Ob sie auch f체r die eige짯nen Pro짯zes짯so짯ren gel짯ten, bleibt aber (noch) offen. So war AMD bei짯spiels짯wei짯se von Melt짯down gar nicht betrof짯fen, obwohl auch Melt짯down das Prin짯zip eines OoO-Pro짯zes짯sors nutzt:

Intel: Intel ack짯now짯led짯ged this 쐖ery inte짯res짯t짯ing issue of RSB-based spe짯cu짯la짯ti짯ve exe짯cu짯ti짯on and will fur짯ther review the attack and its impli짯ca짯ti짯ons. Their imme짯dia짯te advice is to resort to miti짯ga짯ti짯ons simi짯lar to Spect짯re is to defend against our attack (see Sec짯tion 6.1); this is, howe짯ver, sub짯ject to chan짯ge as part of their ongo짯ing RSB inves짯ti짯ga짯ti짯ons that we triggered.

Mozil짯la Foun짯da짯ti짯on: The Mozil짯la Foun짯da짯ti짯on like짯wi짯se ack짯now짯led짯ged the issue. They deci짯ded to refrain from using com짯pi짯ler-assis짯ted defen짯ses, as they would see짯mingly requi짯re com짯plex chan짯ges to JIT-com짯pi짯led and C++ code. Ins짯tead, they aim to remo짯ve all (fine-gra짯nu짯lar) timers from Fire짯fox to des짯troy caching-based feed짯back chan짯nels. Fur짯ther짯mo짯re, they refer짯red to an upco짯ming Fire짯fox release that includes time jit짯te짯ring fea짯tures simi짯lar to tho짯se descri짯bed in Fuz짯zy짯Fox [23], which fur짯ther har짯den against accu짯ra짯te timers.

Goog짯le: Goog짯le ack짯now짯led짯ged the pro짯blem in prin짯ci짯ple also affects Chro짯me. Simi짯lar to Fire짯fox, they do not aim to address the pro짯blem with com짯pi짯ler-assis짯ted solu짯ti짯ons. Ins짯tead, they also refer to inac짯cu짯ra짯te timers, but more important짯ly, focus on a stron짯ger iso짯la짯ti짯on bet짯ween sites of dif짯fe짯rent ori짯g짯ins. Chrome셲 so-cal짯led Site Iso짯la짯ti짯on pre짯vents atta짯ckers from rea짯ding across ori짯g짯ins (e.g., sites of other domains). Howe짯ver, as dis짯cus짯sed in Sec짯tion 6.1, this does not miti짯ga짯te the pro짯blem that atta짯ckers can break ASLR with our attack technique.

AMD / ARM: Alt짯hough we have not tes짯ted our attacks against ARM and AMD archi짯tec짯tures, they ack짯now짯led짯ged the gene짯ral problem.

Micro짯soft: Micro짯soft has ack짯now짯led짯ged the pro짯blem and is working on fixes, but has not dis짯c짯lo짯sed tech짯ni짯cal details yet.

Apple: As of 07/23/2018, we have not heard back from Apple yet.

Red짯hat: Red짯hat was thank짯ful for our dis짯clo짯sure and men짯tio짯ned that the cur짯rent Spect짯re defen짯ses (espe짯ci짯al짯ly flus짯hing RSBs)봶ithout con짯side짯ring RSB-based attacks봫ight other짯wi짯se have been remo짯ved by the ker짯nel deve짯lo짯pers in the near future. In par짯ti짯cu짯lar, Red짯hat men짯tio짯ned that fixing RSB under짯flows will not ful짯ly sol짯ve the pro짯blems poin짯ted out in our paper.