一张图看懂影响全球的CPU漏洞Metldown与Spectre原理

也来蹭个热度。

从没想到过,像CPU这样浓眉大眼的硬件也会成了叛徒!且这次事件影响之深、范围之广、修复之难,是以前各种OS级漏洞完全无法比拟的。

先说两个概念,一个是CPU缓存Cache,一个是CPU指令的乱序执行;

第一个,缓存的概念不用多说,就是在CPU里面有个临时存储器,比普通的内存小,但是快很多,供CPU高速访问用;

第二个,乱序执行,现代CPU为了提高性能,采用乱序执行(Out-of-OrderExecution)和预测执行(Speculative Prediction)。也就是不按程序的逻辑顺序执行,提前执行后面的命令。但提前执行的结果并不会输出,等全最后汇总才输出。万一乱序的指令错了,把错误的结果丢了就好了。

这样既能够提高性能,又可以保证正确结果,完美吧!但是,就是一个小小的点,丢弃CPU错误结果时,会恢复CPU的状态,但不会清楚CPU缓存的内容,而这两组漏洞正是利用了这一设计上的小点进行攻击的。

废话不多说,下面举个栗子,看看Spectre是如何实现的。

------------------------------分割线-------------------------------

(为便于理解,这里省略了进程地址与物理内存地址的变换)

假设Firefox在内存空间0x5000:0000存放了登录密码“Password”,"P"的ASCII码为80(十进制)。

下面是示例程序(不要纠结语法啊,俺不是程序猿)

byte[] Buff1=new byte[16]

byte[] Buff2=new byte[0x200000]

Buffsize = 16

N = 8192

...

if (x

y = Buff2[Buff1[x]*N]

当CPU执行" if (x

显然,Buffer1[0x40000000]这个访问明显是越界了,SoWhat!CPU不在乎,反正这是预执行,不费那个劲检查了,等汇总输出结果时,真发现错了再干掉他就成。

于是,Buffer1[0x40000000]虽然越界了,还是读到了地址0x50000000的值"P",也就是十进制的80。

接下来,把Buffer2[80*N]内存中的内容调入CPU到的缓存(这里的N,应该是与调入缓存页的大小相关)

到了结果汇总的时候了,x

到此都没问题,CPU架构的设计者该得意了,哥早就说过预执行时不需要检查了;哪怕万一这句真的执行了,这时候自然系统会检查到越界,哥再干掉它就行,反正程序别想拿到这个"P"。

但问题来了,前面说过,预执行指令被恢复时,CPU的缓存并未被恢复。然并卵啊,Spectre还是没法读到“P”呀。

这时就用到测信道攻击方式了,Spectre根本不用去读"P"的位置,只要正常去读取Buff2里的每个N位置的内容,测量读取的时间(缓存中的内容比内存中的快很多),就会发现第80个N位置的内容肯定比其他的要快很多,这样,值80,也就是"P"被解读出来了。

即便不知到密码存放的准确位置也没关系,改变x的值,反复执行,就能够读到内存中的每一个Byte,等于做了MemoryDump出来。

那位看官说了,你吹这么牛B,你做个程序出来验证下啊!Sorry,哥不是程序猿,就是看篇文章画个图。时间特仓促,不对的地方大家指正!【抱拳】

引用:

https://meltdownattack.com/

https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180106G0PXSJ00?refer=cp_1026

扫码关注云+社区