3 января 2018 года Google Project Zero и другие раскрыли первые три из нового класса уязвимостей, которые затрагивают процессоры со спекулятивным выполнением. Их назвали Spectre (1 и 2) и Meltdown. Используя механизмы спекулятивного выполнения CPU, злоумышленник может временно обойти как явные, так и неявные программные проверки безопасности, которые не позволяют программам читать недоступные данные в памяти. В то время как спекулятивное выполнение разработано как деталь микроархитектуры, невидимая на архитектурном уровне, тщательно разработанные программы могли считывать недоступную информацию в спекулятивном блоке и раскрывать её через боковые каналы, такие как время выполнения фрагмента программы.
Когда было показано, что атаки Spectre возможны средствами JavaScript, команда V8 приняла участие в решении проблемы. Мы сформировали группу реагирования на чрезвычайные ситуации и тесно сотрудничали с другими командами в Google, нашими партнёрами из числа разработчиков других браузеров и партнёрами по оборудованию. Совместно с ними мы проактивно вели как наступательные исследования (конструирование атакующих модулей для доказательства концепции), так и оборонительные (смягчение потенциальных атак).
Читать дальше →
source https://habr.com/ru/post/449546/?utm_campaign=449546
via Blogger http://vladislav-karelin.blogspot.com/2019/04/v8-spectre.html #181ap
from WordPress https://vladislavkarelin.wordpress.com/2019/04/25/%d0%bf%d0%b5%d1%80%d0%b5%d0%b2%d0%be%d0%b4-v8-%d0%be%d0%b4%d0%b8%d0%bd-%d0%b3%d0%be%d0%b4-%d1%81%d0%be-spectre/
http://ifttt.com/images/no_image_card.png
Комментариев нет:
Отправить комментарий