Вчера в базе данных ITL NVD (Information Technology Laboratory National Vulnerability Database) была обновлена появившаяся на днях информация о новой уязвимости, относящейся к той же категории, что и печально известные уязвимости Spectre и Meltdown. Уязвимость к атакам в побочном канале, получившая обозначение CVE-2020-13844, присуща процессорам на архитектурах Arm, реализующих Armv8-A. Она позволяет злоумышленнику получить несанкционированный доступ к данным. Уточним, что для этого необходим локальный доступ к системе.
Как и другие уязвимости в побочном канале, CVE-2020-13844 зависит от особенностей архитектуры, используемых для предсказания ветвлений с целью ускорения исполнения программ. Исследователи обнаружили, что при определенном изменении в потоке команд процессор не выполняет переход, а начинает обрабатывать инструкции, расположенные в памяти линейно. Эта ошибка получила название Straight-Line Speculation (SLS) и она есть в огромном количестве процессоров. Собственно, обнаружена уязвимость была еще в прошлом году и с тех пор у Arm было время на разработку заплат, которые компания уже рассылает разработчикам встроенного ПО и операционных систем. По словам Arm, пока неизвестны случаи, когда злоумышленники воспользовались бы уязвимостью CVE-2020-13844, но даже низкая вероятность атак не позволяет исключить их возможность.