Чи є Raspberry Pi вразливим до експлуатації Spectre або Meltdown?

Виявлено два нові серйозні недоліки безпеки - « Спектр» та «Зрив» .

Чи є Raspberry Pi вразливим для привидів та / або танення?

За словами самих ARM , ядра процесора, які використовувались у всіх моделях до Pi 4, не є вразливими .

Немає змін цього механізму спекуляції на бічних каналах не впливає на більшість процесорів Arm. Остаточний перелік невеликого підмножини сприйнятливих для Arm процесорів, який може бути сприйнятим, можна знайти нижче. [див. посилання на таблицю]

Ядра процесора, якими користується старший Pis, є:

• Pi 1 і нуль (Вт) : ARM11

• Pi 2 V1 : ARM Cortex-A7

• Pi 2 V1.2 і Pi 3 : ARM Cortex-A53

Жодне з перерахованих вище ядер не вказане як вразливе до будь-якої версії нападу (вони взагалі не перераховані, адже не існує відомої вразливості до цих атак).

Raspberry Pi 4 використовують Cortex-A72 , який числиться як вразливі до варіантів 1, 2, 3 і 4. Як вказано в Є Raspberry Pi 4 вразливий для подвигів Specter? , Raspbian містить програмне забезпечення для зменшення цих вразливих ситуацій, тому ризик експлуатації повинен бути низьким. Інші операційні системи можуть не містити відповідних пом'якшень, і хоча ARM кажуть, що для Cortex-A72 було випущено апаратне пом'якшення, незрозуміло, чи застосовувалось це до Pi 4.

Зауважимо, що варіанти 1 та 2 (CVE-2017-5753 та CVE-2017-5715) відомі як "Привид" , а варіанти 3 (CVE-2017-5754) та 3a (пов'язана атака, досліджена ARM) називаються " Meltdown" . Тому жоден із пристроїв Raspberry Pi перед Pi 4 не вважається вразливим ні до Spectre, ні до розплаву.

Pi (всі версії) не є вразливим.

Spectre та Meltdown вимагають виконання поза замовленнями. Cortex-A7 використовується на початку Pi 2 і Cortex A53 , які використовуються в подальшому Pi 2 і Pi 3 являє собою архітектуру строго в замовленні. ARM11 , що використовується в Pi 1 частково поза порядком, але не таким способом , який дозволяє Спектра або Розплавлювання працювати.

ARM це підтверджує : лише дуже обмежений підмножина процесорів ARM має апаратне забезпечення, яке робить їх вразливими до Spectre, ще більш обмежена підмножина вразлива для Meltdown, і вважається, що всі вони дозволяють пом'якшити загрозу.

Я хотів би запропонувати моєму різному взятись до цього.

Щодо Meltdown, то це дуже специфічна вразливість у деяких процесорах, тому якщо ARM каже, що процесор у Raspberry Pi не є вразливим, то йому, ймовірно, можна довіряти.

Однак Spectre є більш загальною вразливістю. Поки було продемонстровано лише два варіанти, але я впевнений, що варіантів більше. Помилка в процесорі полягає в тому, що стан передбачувача гілки не розмивається під час переключення контексту, і цей стан передбачувача гілки індексується бітами низького порядку адреси інструкції гілки, а не позначається зовсім. Таким чином, у вас можуть бути дві гілки, які ділять один і той же стан передбачення гілки, навіть через межі процесу.

Я дуже впевнений, що процесор у всіх моделях Raspberry Pi схожий практично на всі інші процесори там, оскільки передбачувач гілки - це лише великий масив 2-бітових насичуючих лічильників (сильно взяті, слабо взяті, слабо не взяті, сильно не береться). Індекс цього масиву - це біти низького порядку адреси інструкції гілки, і немає тегу, і цей стан прогноктора ніколи не розмивається.

Тепер, якщо дві гілки мають одне і те ж стан предиктора, ви можете виміряти, яким шляхом поділилася певна гілка в недавньому минулому. Таким чином, інформаційний витік Spectre є! Якщо ви можете надійно запустити браузер для виконання деякого розгалуження коду на вашому паролі від JavaScript і виміряти, якими шляхами пішли гілки, ви дійсно можете витягти пароль. Тепер це надзвичайний приклад, ніхто розумний не розгалужував би кожен ваш пароль таким чином, який можна викликати JavaScript, але це демонструє проблему.

Не вірте всьому, що говорить ARM. Що означає ARM - це, ймовірно, що експлуатація Google, яка не працює на цих процесорах ARM, не працює. Це не означає, що вони були б невразливими для Spectre. Якийсь інший вид експлуатації може спрацювати.

Дивіться це запитання: https://security.stackexchange.com/questions/176678/is-branch-predictor-flush-instruction-a-complete-spectre-fix та зрозумійте наслідки його відповіді. Шахрайський JavaScript-код, який працює у вашому браузері, може пояснювати, що Specter вимірює, якими шляхами пішли інші гілки в процесі. Навіть інструкція змивання передбачувача гілки не виправить цю шахрайську проблему JavaScript, якщо браузер активно не промиває передбачувача гілки перед запуском ненадійного коду.

Spectre буде з нами дуже-дуже довго, оскільки передбачувач гілок, що використовує 14 біт як індекс, не позначений рештою 18 бітів 32-бітного адресного простору, тому що тоді буде потрібно 20 біт (2 біта насичувального лічильника , Тег 18 біт) замість всього 2 біт. Це б помножило розмір прогнозованого гілки на десять! Я очікую, що виробники процесорів додадуть інструкцію змивання передбачуваної гілки, яка працює навіть у просторі користувача без спеціальних привілеїв, а ядро ​​використовуватиме її під час переключення в контексті, а користувацький простір використовуватиме її під час запуску ненадійного коду JITed. Це дозволило б виправити більшість проблем Spectre на практиці, але теоретично не всі з них.