Retbleed

RETBLEED
CVE kimliği	CVE-2022-29900; CVE-2022-29901; CVE-2022-28693;
Keşfedildiği tarih	Şubat 2022
Etkilenen donanım	Intel, AMD ve ARM işlemciler

Retbleed, bazı yakın zamanlı Intel ve AMD çiplerini içeren x86-64 ve ARM işlemcilerdeki bir spekülatif yürütüm saldırısıdır.^[1]^[2] Resmi olarak ilk kez 2022'de açıklanan ve spekülatif yürütüm saldırılarını hafifletmek için planlanmış retpoline'i istismar eden bu saldırı, Spectre açığının bir türüdür.^[3]

Araştırmacılara göre Retbleed'i hafifletme yamaları, sistemler üzerinde bu saldırıdan etkilenen AMD ve Intel işlemcilerde sırasıyla %14'e ve %39'a kadar performans kaybına neden olan geniş çaplı değişiklikler yapılmasını gerektirir.^[4] Bu saldırının altıncı, yedinci ve sekizinci nesil Intel Core mikromimarilerinde ve AMD Zen, Zen+ ve Zen 2 mikromimarilerinde gerçekleştirilebildiği kanıtlanmıştır.

ARM'nin resmi bir dokümanı, Spectre'den etkilenen tüm ARM işlemcilerinin Retbleed'den de etkilendiğini belirtmektedir.^[2]

Temmuz 2022 itibarıyla Retbleed sorunu için Linux çekirdeğine yamalar yapılmıştır ancak bu yamalar henüz herhangi bir son kullanıcı sürümünün bir parçası olarak yayınlanmamıştır.^[5] 32 bit Linux için herhangi bir yama planlanmamaktadır.^[6]

Kaynakça

^ Claburn, Thomas. "AMD, Intel chips vulnerable to 'Retbleed' Spectre variant". www.theregister.com (İngilizce). 12 Temmuz 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 12 Temmuz 2022.
^ ^a ^b ARM Developer. "Q: Are Arm CPUs affected by the RETBLEED side-channel disclosed on the 13th July 2022?". 14 Temmuz 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 13 Temmuz 2022.
^ Goodin, Dan (12 Temmuz 2022). "Intel and AMD CPUs vulnerable to a new speculative execution attack". Ars Technica (İngilizce). 12 Temmuz 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 12 Temmuz 2022.
^ ETH Zurich Computer Security Group. "Retbleed: Arbitrary Speculative Code Execution with Return Instructions". 12 Temmuz 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 13 Temmuz 2022.
^ Eddy, Nathan (18 Temmuz 2022). "Retbleed Fixed in Linux Kernel, Patch Delayed". Dark Reading (İngilizce). 19 Temmuz 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 19 Temmuz 2022.
^ Michael Larabel (24 Temmuz 2022). "Linux x86 32-bit Is Vulnerable To Retbleed But Don't Expect It To Get Fixed". phoronix.com. 2 Ağustos 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Ağustos 2022.

Dış bağlantılar

Retbleed: Arbitrary Speculative Code Execution with Return Instructions 2 Ağustos 2022 tarihinde Wayback Machine sitesinde arşivlendi.
GitHub'da Original Retbleed proof of concept 21 Temmuz 2022 tarihinde Wayback Machine sitesinde arşivlendi.

[1] Claburn, Thomas. "AMD, Intel chips vulnerable to 'Retbleed' Spectre variant". www.theregister.com (İngilizce). 12 Temmuz 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 12 Temmuz 2022.

[arm-retbleed-official-2] ARM Developer. "Q: Are Arm CPUs affected by the RETBLEED side-channel disclosed on the 13th July 2022?". 14 Temmuz 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 13 Temmuz 2022.

[3] Goodin, Dan (12 Temmuz 2022). "Intel and AMD CPUs vulnerable to a new speculative execution attack". Ars Technica (İngilizce). 12 Temmuz 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 12 Temmuz 2022.

[retbleed-official-4] ETH Zurich Computer Security Group. "Retbleed: Arbitrary Speculative Code Execution with Return Instructions". 12 Temmuz 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 13 Temmuz 2022.

[5] Eddy, Nathan (18 Temmuz 2022). "Retbleed Fixed in Linux Kernel, Patch Delayed". Dark Reading (İngilizce). 19 Temmuz 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 19 Temmuz 2022.

[6] Michael Larabel (24 Temmuz 2022). "Linux x86 32-bit Is Vulnerable To Retbleed But Don't Expect It To Get Fixed". phoronix.com. 2 Ağustos 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Ağustos 2022.

[1]

[2]

[3]

[4]

[5]

[6]