Spectre’dan faqat dasturiy ta’minot darajasida himoya qilishning iloji yo‘q.
Tashqi kodlarni sharhlashi mumkin bo’lgan ilovalarni ishlab chiquvchilar ehtiyot bo’lishlari kerak.
Ko’pgina zamonaviy protsessorlarga ta’sir qiluvchi Spectre sinfidagi zaifliklardan foydalanishdan himoya qilish uchun dasturiy ta’minotning o’zi yetarli emas. Bu Google tadqiqotchilari Spectre tahlili asosida shunday xulosaga kelishdi. Xavfsizlik bo’yicha tadqiqotchilar Ross McIlroy, Jaroslav Sevcik, Tobias Tebbi, Ben L. Titzer va Toon Verwaest turli protsessor oilalarida Spectre zaifliklaridan foydalanish uchun «universal gadjet» yaratganliklarini xabar qilishdi. Ushbu gadjet yordamida oqimda ishlaydigan zararli kod bir xil manzil maydonining butun xotira tarkibini o’qishi mumkin. Bu shuni anglatadiki, brauzer oqimida ishlaydigan zararli veb-sahifaga o’rnatilgan JavaScript kodi boshqa oqimda ishlaydigan boshqa veb-sahifaning JavaScript kodini kuzatishi va maxfiy ma’lumotlarni o’g’irlashi mumkin.
Brauzerlar allaqachon bunday hujumlardan himoyaga ega. Masalan, Chrome veb-sahifalarni turli jarayonlarga ajratadigan sayt izolyatsiyasini amalga oshiradi. Firefox, Internet Explorer va Edge Spectre zaifliklari orqali ma’lumotlarni o’g’irlash uchun ishlatilishi mumkin bo’lgan SharedArrayBuffer deb nomlangan JavaScript obyektidan foydalanishni bloklaydi. Biroq, tadqiqotchilarning fikriga ko’ra, tahdid zararli kodni qayta ishlashga qodir ilovalar uchun dolzarbligicha qolmoqda.
Dasturlash tili darajasida amalga oshirilgan Spectre ekspluatatsiyasini kamaytirish choralari xavfsizlikni to’liq ta’minlay olmaydi. Mutaxassislarning fikricha, har bir jarayon o’zining virtual manzil maydoni va sahifa jadvallariga ega bo’lishi uchun jarayonlarni ajratish apparat darajasida amalga oshirilishi kerak.
Zararli kod foydalanuvchi kodi bilan bir xil manzil maydonida talqin qilinishi mumkin bo’lgan holatlar kam uchraydi — bu asosan brauzerlarga tegishli. Brauzerlar allaqachon Spectre ekspluatatsiya hujumlaridan himoyaga ega bo’lganligi sababli, Google tadqiqotchilarining ishi faqat nazariy va xavotirga sabab bo’lmaydi. Biroq, tashqi kodni qayta ishlashga qodir ilovalarni ishlab chiquvchilar xavotirga sabab bo’lmoqda.
«Biz zamonaviy apparat vositalaridagi spekulyativ zaifliklar dasturlash tili darajasida qo’llaniladigan maxfiylik choralarini bekor qilishiga aminmiz. Ushbu zaifliklarni dasturiy ta’minot darajasida to’liq tuzatish uchun ma’lum choralar yo’q», deb ta’kidladi tadqiqot mualliflari.
