幽靈安全漏洞 Spectre1.1 新變種曝光 源于投機執行與緩沖區溢出

來自麻省理工的 Vladimir Kiriansky 和咨詢公司 Carl Waldspurger 的兩位安全研究人員，剛剛發布了一篇揭露臭名昭著的“幽靈”（Spectre）安全漏洞新變種的論文，因其會產生投機性的緩沖區溢出。論文中，兩人解釋了他們新發現的這個變種（Spectre 1.1 / CNNVD-201807-884、CVE-2018-3693）可以如何攻擊和防御。

對于處理器廠商來說，年初被曝光的該漏洞、以及后續陸續出現的多個其它變種，著實令業界感到頭疼。而最新的 Spectre 1.1 漏洞，則利用了投機性的緩沖區溢出。

與經典的緩沖區溢出安全漏洞類似，Spectre 1.1 又被稱作‘邊界檢查繞過存儲’（簡稱 BCBS），將其與最原始的投機性執行攻擊區分開來。

研究人員考慮將新變種歸于 Spectre V1 家族的一個微小版本：

其在投機性執行窗口中使用了相同的開口（即有條件分支投機），但 Spectre 1.1 還是影響了數十億的現代處理器（波及 Intel 和 AMD）。

研究人員稱，預測緩沖區溢出使得本地攻擊者可以在脆弱的系統上執行任意不受信任的代碼。

通過邊際信道分析（side-channel analysis）和投機緩沖區溢出（speculative buffer overflow），它可利用微處理器的投機性執行和分支預測來暴露敏感信息。

通過直接或重定向控制流，數據值攻擊可以繞過一些 Spectre-v1 的緩解補丁。

控制流攻擊允許任意投機代碼的執行，它可以繞過柵欄指令和此前所有針對預測執行攻擊的軟件補救措施。

更可怕的是，研究人員還指出了所謂的 Spectre 1.2 漏洞！

作為幽靈漏洞的另一個小變體，其影響那些不會強行讀/寫保護和依賴于懶惰的 PTE 強制執行的處理器。

在一場 Spectre 1.2 攻擊中，被允許的投機存儲可覆寫只讀的數據、代碼指針、以及代碼元數據：

其包括 vtables、GOT / IAT、以及控制流緩解元數據，結果就是依賴于只讀存儲器的硬件執行沙箱都被無效化了。

研究人員已經在英特爾 x86 和 ARM 處理器上驗證了 Spectre 1.1 和 Spectre 1.2 攻擊：

對于 Spectre 1.1，推薦采取 SLoth 家族微架構緩解方案。對于芯片制造商來說，可在未來的處理器上部署所謂的‘流氓數據緩存存儲’保護特性。

盡管研究人員認為通過處理器微代碼更新即可完全緩解 Spectre 1.1 漏洞，但英特爾還是建議用戶和操作系統供應商部署安全補丁，以應對在可預見的將來會出現的一些新變種。