Spectre (tietoturvahaavoittuvuus)

Wikipediasta
Siirry navigaatioon Siirry hakuun

Spectre ja Meltdown ovat tietokoneen suorittimissa olevia tietoturva-aukkoja.[1] Meltdown perustuu virheeseen suorittimen kyvyssä suorittaa ohjelmaa epäjärjestyksessä (engl. out of order execution).[1] Spectre perustuu haarautumisen ennakoinnissa (engl. branch prediction) ja spekulatiivisessa suorituksessa olevaan virheeseen.[1] Haavoittuvuutta on kutsuttu "luultavasti pahimmaksi koskaan löydetyksi suorittimen bugiksi".[2]

Suorittimet suorittavat käskyjä ennakoivasti ja hylkäävät suoritetun osan mikäli ennakoitu ehto olikin väärä.[3] Hylätyt käskyt eivät muuta ohjelman lopputulosta, mutta jättävävät jälkiä välimuistiin myös kun arvoja ei olisi koskaan pitänyt ladata.[3] Välimuistiin jääneet arvot voidaan havaita, koska niiden haku on hieman nopeampaa.[3] Myös haarautumisen ennakoinnin nopeutta voidaan seurata, joka samalla tavoin voi paljastaa tietoa.[3] Käyttöjärjestelmiin on tehty muutoksia tavoitteena suojata haavoittuvuuksilta.[3]

Aukoista julkaistiin alkuvuonna 2018.[1] Aukon julkaisun jälkeen on löydetty useita muita muunnelmia (kuten Foreshadow, ZombieLoad, RIDL ja Fallout).[4] Julkaisun jälkeen on löydetty myös luokka haavoittuvuuksia nimeltä Microarchitectural Data Sampling (MDS), joka kohdistuu suorittimen sisäisiin puskureihin eikä välimuistiin.[5] Haavoittuvuudet mahdollistavat järjestelmän suojauksien ohittamisen ja suojautun järjestelmämuistin lukemisen antaen pääsyn tietoihin kuten salasanoihin ja salausavaimiin.[5]

Googlen tutkijoiden mukaan vastaavat haavoittuvuudet säilyvät uhkana.[6]

Katso myös[muokkaa | muokkaa wikitekstiä]

Lähteet[muokkaa | muokkaa wikitekstiä]

  1. a b c d James Sanders: Massive Intel CPU flaw: Understanding the technical details of Meltdown and Spectre techrepublic.com. 4.1.2018. Viitattu 24.9.2020. (englanniksi) 
  2. Samuel Gibbs: Meltdown and Spectre: ‘worst ever’ CPU bugs affect virtually all computers theguardian.com. 4.1.2018. Viitattu 29.9.2020. (englanniksi)
  3. a b c d e “Meltdown” and “Spectre:” Every modern processor has unfixable security flaws arstechnica.com. 4.1.2018. Viitattu 1.10.2020. (englanniksi) 
  4. https://lviattack.eu
  5. a b James Sanders: Spectre and Meltdown explained: A comprehensive guide for professionals techrepublic.com. 15.5.2019. Viitattu 24.9.2020. (englanniksi) 
  6. Google: Software is never going to be able to fix Spectre-type bugs arstechnica.com. 23.2.2019. Viitattu 1.10.2020. (englanniksi) 

Aiheesta muualla[muokkaa | muokkaa wikitekstiä]