LINUX.ORG.RU

Выявлен новый вид JavaScript-атак на кэш-память процессора

 , javascript. intel,


1

1

Исследователи из Колумбийского университета опубликовали отчет об успешном получении детальных сведений о действиях пользователя по содержимому кэш-памяти центрального процессора.

Созданный ими эксплоит требует для работы компьютер с одним из современных процессоров Intel - Ivy Bridge, Sandy Bridge и Haswell (отмечается, что из-за особенностей архитектуры процессоров AMD проведение атаки на них крайне маловероятно), а также браузер с поддержкой HTML5. Вредоносный код в виде JavaScript подгружается через баннерные сети. Атака заключается в измерении времени, требуемого для доступа к кэш-памяти (кэш L3 является общим для всех ядер процессора и его совместно используют все процессы, включая ядро).

Сам код сначала сбрасывает кэш, ждёт действие пользователя, и замеряет время, потребовавшееся для запроса к памяти. Если искомые данные уже в кэше, запрос выполняется существенно быстрее. Из этого злоумышленник может вычислить соответствие запрашиваемых областей памяти с нажатиями клавиш и движениями мыши.

Уже создан рабочий вариант эксплоита, но подробности будут держаться в тайне до тех пор, пока разработчики браузеров не придумают способ защиты.

>>> Подробности

anonymous

Проверено: fallout4all ()
Последнее исправление: fallout4all (всего исправлений: 1)

Ответ на: комментарий от deep-purple

Да и может эти фреймы создаются динамически, скриптом который и так уже на целевой странице.

Скрипт на целевой странице от какой нибудь баннерной сети, а баннеры грузятся откуда попало.

TDrive ★★★★★
()
Ответ на: комментарий от TDrive

В моем примере никаких CORS не нужно — скрипты прогрузить (отдать в дырочку данные) никто не запрещает. Единственное это учесть http(s)? чтоб не было Mixed Content иначе браузер заблочит.

deep-purple ★★★★★
()
Ответ на: комментарий от deep-purple

Да какая разница как он подгружается? Факт в том что он уже подгрузился, и делает там что хочет.

Вот ты попробуй загрузить на страницу iframe с левого домена и посмотри что он сможет сделать.

TDrive ★★★★★
()
Ответ на: комментарий от deep-purple

Если ты попросиш разработчика сайта разместить твой скрипт на сайте тогда да, там еще и куки можно стянуть, сессию перехватить... но в мире мало таких идиотов с сайтами.

TDrive ★★★★★
()
Ответ на: комментарий от deep-purple

Ну тогда иди пиши новость что ты нашел новую дыру в браузерах, и кейлогер свой не забудь там прикрепить для примера.

TDrive ★★★★★
()

Все же какие крутые мозги у тех, кто такие дыры находит и может их реально использовать.

dk-
()
Ответ на: комментарий от Deleted

Это говно даже эксплоит запустить не может)

dk-
()

Очень рад, что у меня amd и noscript

sehellion ★★★★★
()
Ответ на: комментарий от dk-

Все же какие крутые мозги у тех, кто такие дыры находит и может их реально использовать.

категорически не согласен

дыры видны любому разработчику в любой системе(устройство которой известно/изучено разработчиком)

чтото на уровне басни про солонку и программиста-солонка в столовой уязвима к засыпанию любого порошка кемугодно...тоесть проектору системы солонка нужно быо учесть этот факт и в инструкцию добавить-проверять содержимое солонки после ухода каждого посетителя столика...

тут,и в любой уязвимости-ошибка проектирования,но уязвимость более чем очевидная и «рабтающим людям» до таких мелочей дел нет,это слишком просто и очевидно,и да-подташнивает от таких как ты возвышающих уровень секретарши на уровень разработчика

g1966464
()
Ответ на: комментарий от dk-

Ибо амд не тянет.

хз, у меня последние пару лет тянет
3/3 - типо около 3Г памяти на 3ГГц проца будет достаточно всем

и ... да, достаточно, и да , нет кеша 3 лвл ;)

anTaRes ★★★★
()
Ответ на: комментарий от dk-

Все же какие крутые мозги у тех, кто такие дыры находит и может их реально использовать.

сочувствую
пользоваться нужно мозгами своими, а не восхищаться чужими

anTaRes ★★★★
()
Ответ на: комментарий от dk-

вангую что применять их нужно везде, даже в той области в которой не разбираешься

anTaRes ★★★★
()
Последнее исправление: anTaRes (всего исправлений: 1)
Ответ на: комментарий от deep-purple

http://webdev-tales.ru/post/8169349311

эта (описываемая в статье) хрень — не заработает.

слава конечно автору что столько он букв потратил, но мы тут не простачки.. фразой "Ура! Заработало" пусть он пытается гипнотезировать кого-нибудь другого :-) ..

и да — "проверим код в Internet Explorer 7" (всем же есть большое дело до того что там в Эксплорере!! — сарказм :))

user_id_68054 ★★★★★
()

Уже создан рабочий вариант эксплоита, но подробности будут держаться в тайне до тех пор, пока разработчики браузеров не придумают способ защиты.

небось в тайне — в том числе и от разаработчиков бразуеров :-)

user_id_68054 ★★★★★
()
Ответ на: комментарий от user_id_68054

Хрень описанная в статье расчитана на фреймы с одного домена, и в общем то она заработает. Если загружать фрейм с левого домена то начинает работать политика безопасности браузера и доступ остается только к window.location, некоторые даже через window.location.hash мутят обмен данными между фреймом и скриптами основного сайта.

TDrive ★★★★★
()
Последнее исправление: TDrive (всего исправлений: 1)
Ответ на: комментарий от TDrive

... и user_id_68054 — да, с фреймами я психанул.

Но! Почитал вот пдф-отчет ихний и вот оттуда:

In our attacker model, the victim merely has to access a website owned by the attacker ::: В нашем случае, жертва просто должна иметь доступ на сайт принадлежащий атакующему.

The victim is coerced to view a webpage containing an attacker controlled element such as an advertisement ::: Жертву «принуждают» просмотреть страницу, содержащую кусок говна (например, руклама), контролируемый атакующим.

Слово «advertisement» встречается во всем документе только один раз, в том самом месте из которого и цитата. Так же, нигде не указано каким именно способом был организован описывемый «sandbox» — чужой фрейм ли это на странице, или та же самая страница.

Так что ждем ебилдов подробностей.

deep-purple ★★★★★
()
Ответ на: комментарий от deep-purple

Если предположить что это организовано на той же самой странице с которой нужно считать действия пользователя. то они сказочные идиоты потому что в таком случае твой кейлогер работает лучше.

TDrive ★★★★★
()
Ответ на: комментарий от deep-purple

Да и вообще речь про кэш L3 процессора, какая разница какие там страницы в браузере) Он любые действия пользователя палит, не важно браузер это или нет.

TDrive ★★★★★
()
Ответ на: комментарий от mix_mix

Вангую Касперски-стайл отмазки: уязвимость есть, только я её вам никогда не покажу, потамушта неэтично, и меня крутые дядьки из интел просили не расказывать.

anonymous
()
Ответ на: комментарий от deep-purple

In our attacker model, the victim merely has to access a website owned by the attacker ::: В нашем случае, жертва просто должна иметь доступ на сайт принадлежащий атакующему.

Всё-таки нет. «have to» — это устойчивое выражение, а «access» в данном случае — глагол. Поэтому не «должна иметь доступ на сайт», а «жертве достаточно просто зайти на сайт, принадлежащий атакующему».

Wizard_ ★★★★★
()
Ответ на: комментарий от Wizard_

Тем более значит — контекст (как и где жс у них выполняется) не ясен.

deep-purple ★★★★★
()
Ответ на: комментарий от dk-

Может не в тему, но на каких задачах amd сливает интелу вчистую? Не срача ради, просто я за железом лет 5 назад следить перестал, а теперь даже не в курсе положения дел.

WRG ★★★★
()
Ответ на: комментарий от mittorn

Тут не x86 - тут всю жизнь дырявый Intel. Это далеко не первый случай таких эпичных багов в процессоре, когда с AMD всё в порядке.

Quasar ★★★★★
()
Ответ на: комментарий от WRG

WRG> на каких задачах amd сливает интелу вчистую?

В однопоточных. Процентов эдак на 15-20 (но за ту же цену не особо и сливают). В большинстве случаев некритично.

Quasar ★★★★★
()

код сначала сбрасывает кэш

Javascript

Это как? Научите.

замеряет время, потребовавшееся для запроса к памяти

Из этого злоумышленник может вычислить соответствие запрашиваемых областей памяти с нажатиями клавиш и движениями мыши

Каким образом? И что это вообще такое, «соответствие областей памяти с нажатиями»?

buddhist ★★★★★
()

О, да это просто сказка! Cross-site requests уже запретили, дело за малым — запретить same-site requests.

t184256 ★★★★★
()
Ответ на: комментарий от g1966464

а уж с приходом html5 и видео тега-все тоже можно сделать сейчас в браузерах без флеша,пятьже через видеопамять

Это еще радуйся, что он не догадались glProgramBinary и glGetProgramBinary в стандарт webgl запихнуть. Иначе вообще вот подобная халява бы была :

http://beta.ivc.no/wiki/index.php/Xbox_360_King_Kong_Shader_Exploit

anonymous
()
Ответ на: комментарий от tailgunner

У AMD будут те же проблемы

У AMD ВНЕЗАПНО другая архитектура кэшей - эксклюзивная против инклюзивной у Intel.

devl547 ★★★★★
()
Ответ на: комментарий от anonymous

Хотя, возможно что и абстракцию GLSL можно порвать и получить непривелегерованный доступ к памяти.

anonymous
()
Ответ на: комментарий от anonymous

Иначе вообще вот подобная халява бы была :

Вся эта халява с приставками заканчивается на «а теперь мы запустили древний livecd с пингвином».
Что делать дальше никто не знает)

devl547 ★★★★★
()
Ответ на: комментарий от devl547

Конкретно с ящиком 360 дальше знали что делать и все дальнейшее пошло крайне бодро - на основе этого эксплойта впоследствии запилили эпичнейший JTAG Hack (это вообще песня - прошивка содержит неподписанный микрокод для контроллера геймпадов, к которому подпаивается вывод ISP GPU иксбокса, который через jtag грузит эксплойт в GPU и эксплуатирует уязвимость первичного загрузчика). Когда халяву с загрузчиком прикрыли новыми прошивками, появился не менее эпичный, пусть и менее стабильный RGH, который с помощью модчипа дергал reset процессора и обходил ДеРьМо касательно Revocation List в первичном загрузчике и грузил старый багнутый загрузчик второго уровня с уязвимостью. Ну и как результат - хомебрю и пираткосцена расцвели не менее буйно чем на псп или предшественнике.

anonymous
()
Ответ на: комментарий от anonymous

Не, со сценой я знаком.
Просто когда-то были мысли поставить на PS3/XBox360 генточку на поиграться. Но в реале всё вылилось в такую задницу без ядер и драйверов, что привет)

Интересно, на PS4/XBOne можно будет десктоп собрать, или там x86 того же уровня огорода.

devl547 ★★★★★
()
Ответ на: комментарий от WRG

Ну я могу ответь за область около фото. И в прошлом процессоре ого рендеринг видео. В е коллеги в прошлом фаны амд отправили их на свалку истории.

dk-
()

из-за особенностей архитектуры процессоров AMD проведение атаки на них крайне маловероятно

Это очень сильно обнадеживает..

loz ★★★★★
()

Когда на JavaScript начнут писать нескучные обработчики прерываний?

queen3 ★★★★★
()
Ответ на: комментарий от anonymous

учитывая что nintendo wii ломали еще проще-через кэш браузера(встроенной смотрилки подобия «почты»,и даже через тот самый-експлоит с mac адресом в линуксе 2.6 с переполнением,и то что nand чип wii с прошивкой первичных загрузчиков кторые должен быть только READ(хардварно)-имел write блоки(на хардварном чипе только для чтения есть записываемые пустые блоки эпик)...я уже писал что дыр хардварных в ЦП и вообще всем оборудовании современного ПК-уйма,какието может специально какието нет(как следствие используемой технологии,как в этом случае с интелом)...но факт того что даже через картинку(статику данных) можно заюзать эксплоит в «игровых приставках»-является доказательством аналогичного и для ПК,и спасает только разнообразие производителей оборудования-хардварные эксплоиты сделать можно но под конкретную модель

g1966464
()
Ответ на: комментарий от devl547

Просто когда-то были мысли поставить на PS3/XBox360 генточку на поиграться. Но в реале всё вылилось в такую задницу без ядер и драйверов, что привет)

учитывая что консоль сделана как два компьютера(ЦП) с одним видиовыходом,первый-это «меню» консоли-ты видишь при запуске,а второе-сама игра/ПО-это полностью автономная ОС(целиком) целиком запускающаяся на основной мозности консоли

поэтому да-драйверов под консоли нет,и нет отчасти потому что-хардварный DRM во всех консолях,и транслировать команд на оборудование надо ...через DRM(также как ssl в браузере с ключами и шифровкой между сервер-клиент)...но использовать мощность ЦП можно на 100%,тоесть сервер на ящике или пс3 или даже wii вполне рабочее решение(в определенных случаях конечно)

но дрм внутри-все портит,молюсь чтоб небыло DRM для биоса на ПК,ибо DRM для прошивок видеокарт ввели уже давно(привет нвидия)

g1966464
()
Ответ на: комментарий от ashot

Я имел в виду, что такого html5-спецефичного? Экшены не в 5-ом придумали.

Судя по всему, вот из-за этого https://developer.mozilla.org/en/docs/Web/JavaScript/Typed_arrays

В атаке используется особенность работы JavaScript-движков с типизированными массивами

foror ★★★★★
()
Ответ на: комментарий от anTaRes

приятный

Опять девианты на ЛОР постят свои фантазии.

anonymous
()
Ответ на: комментарий от TDrive

Тут один регистрант на лоре говорил, что всё окей парсить evalом json, так что есть они, есть.

anonymous
()
Ответ на: комментарий от WRG

Может не в тему, но на каких задачах amd сливает интелу вчистую? Не срача ради, просто я за железом лет 5 назад следить перестал, а теперь даже не в курсе положения дел.

у меня также,вот темку недавно сделал там обсужили(последние страницы об этом) Radeon для игр,реальные советы прошу

и я выбрал переплатить интелу(в пару раз за многоядерник,чем жрать киловатты)

g1966464
()

Поясните непрограммисту.
Т.е. зловредный JS код из браузера, имеет доступ ко всему L3 кешу процессора? Или к части L3 кеша куда загружается этот JS?

Если ко всему, то это хрень какая то полная. А если к части, то почему только L3, а не оперативка например?

anonymous
()
Ответ на: комментарий от anonymous

Если ко всему, то это хрень какая то полная. А если к части, то почему только L3, а не оперативка например?

это РЕАЛИЗАЦИЯ кэширования от линукс(не выгружая последние данные из памяти ЦП-увеличивается производительность,но входящие данные-типо нажатий клавиш сдвигают/частично стирают старые данные,и каждая клавиша накладывает СТАТИЧНОЕ время чтения старых данных,тоесть считая время чтения/загрузки(из памяти) блока делают вывод о последней нажатой клавише)...читай тему я уже расписывал подробно как работает это

g1966464
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.