Spectre (güvenlik açığı)
From Wikipedia, the free encyclopedia
Spectre dallanma öngörüsü kullanan modern mikroişlemcileri etkileyen bir güvenlik açığıdır.[1][2] Çoğu işlemcide spekülatif yürütmeden kaynaklanan hatalı dallanma tahmini, özel bilgilerin saldırganların eline geçmesine neden olabilecek ciddi yan etkiler bırakabilir. Örneğin, bu spekülatif yürütme tarafından gerçekleştirilen bellek modeli özel verilere bağlıysa veri önbelleğinin sonuç durumu, bir saldırganın bir zamanlama saldırısı gerçekleştirerek özel veriler hakkında bilgi alabildiği bir yan kanal oluşturur.[3][4][5]
Spectre'ye ait iki Common Vulnerabilities and Exposures (CVE) kimliği bildirilmiştir, CVE-2017-5753 (sınır denetimini atlama, Spectre-V1) ve CVE-2017-5715 (dal hedefi ekleme, Spectre-V2).[6] JİT motorları için kullanılan JavaScript savunmasız bulunmuştur. Bu zaafiyet, bir web sitesinin, tarayıcıda bir başka websitesi için saklanan verileri veya tarayıcının belleğinin kendisini okuyabilmesinden kaynaklanmaktadır.[7]
15 Mart 2018'de Intel, Spectre ve ilgili Meltdown güvenlik açıklarına (Spectre-V1 değil, özellikle Spectre-V2 ve Meltdown-V3'e) karşı koruma sağmak için işlemcilerini (performans kayıpları açıklanmak üzere) yeniden tasarlayacağını bildirdi. Yeniden tasarlanan işlemcilerin 2018'de daha sonra piyasaya sürülmesi bekleniyor.[8][9][10]