스펙터 (버그)
From Wikipedia, the free encyclopedia
스펙터(Spectre)는 분기 예측이 적용된 모든 현대 마이크로프로세서에 영향을 주는 하드웨어 보안 취약점으로,[1][2][3][4] 실패한 분기 예측으로 인해 메모리 데이터가 관찰 가능한 주변 효과(Side effect)로 의도치 않게 노출되는 취약점이다. 가령 예측적으로 실행되는 메모리 접근 인스트럭션이 민감한 데이터에 의해 결정된다면, 공격자는 이로 하여금 프로그램을 실행한 후에 데이터 캐시에 타이밍 공격을 감행하여 해당 메모리 접근을 결정한 데이터를 추론해낼 수 있다.[5][6][7]
간략 정보 CVE 식별자, 발견일 ...
CVE 식별자 | CVE-2017-5753 (Spectre-V1) CVE-2017-5715 (Spectre-V2) |
---|---|
발견일 | 2018년 1월(6년 전)(2018-01) |
영향을 받는 하드웨어 | 분기 예측을 수행하는 2019년도 이전에 출시된 모든 마이크로프로세서 |
웹사이트 | spectreattack |
닫기
총 두 개의 스펙터와 관련된 CVE가 존재하는데, 이 중 CVE-2017-5753 (Spectre-V1, 스펙터 변종 1)은 배열 경계 검사를 수행하는 조건부 분기를 우회하는 공격법에 관한 것이며, CVE-2017-5715 (Spectre-V2, 스펙터 변종 2)는 같은 효과를 간접 분기를 이용하여 달성하는 공격법에 관한 것이다.[8]
자바스크립트의 JIT 컴파일러 엔진 역시 스펙터 버그에 영향을 받는 것으로 드러났다. 이 버그에 의하면 어떤 웹사이트가 다른 브라우저에 열린 웹사이트의 데이터를 열람할 수 있고, 심지어 다른 브라우저 자체의 메모리 또한 열람할 수 있다.[9]
인텔은 2018년 3월에 스펙터 변종 2와 멜트다운 버그 해결을 위해 새로 CPU를 디자인할 계획을 밝히고,[10][11][12][13] 같은 해 10월 이를 위한 하드웨어와 펌웨어 수정을 발표하였다.[14]