Morello: Microsoft und ARM bauen Chip mit Speichersicherheit

Eine CPU-Architektur mit Capabilitys soll typische Speicherfehler aus C oder C++ in der Hardware verhindern. Die CPU wird nun erstmals getestet.

Artikel veröffentlicht am ,
Der ARM-Morello-Chip
Der ARM-Morello-Chip (Bild: ARM)

Ein Konsortium um den CPU-Hersteller ARM und mehrere Universitäten stellen nun als Teil des Forschungsprogramms Morello erstmals eine experimentelle CPU bereit, deren Architektur bestimmte typische Speicherfehler aus C oder C++ bereits in der Hardware verhindern soll.

Eine begrenzte Stückzahl der CPU auf Grundlage des Server-Chips ARM Neoverse N1 wird nun mit Board unter anderem Microsoft und Google zum Testen bereitgestellt. Bei dem Chip handele es sich demnach um eine Quad-Core-CPU mit 2,5-GHz-Takt und einer GPU. Bisher stand zum Testen von Cheri nur eine FPGA-Implementierung mit einem Dual-Core bei 50 MHz bereit, wie Microsoft schreibt. Weitere Details zum Aufbau von Board und Chip liefert ARM in einem gesonderten Blogpost, ebenso wie Details zum genutzten Betriebssystem und Firmware.

Cheri für Speicherschutz in der Hardware

Im Blog des Microsoft Security Response Center (MSRC) beschreibt das Unternehmen die Idee der Technik näher. Mit Morello würden demnach die unter anderem von der University of Cambridge umgesetzten Cheri-Befehlssatzerweiterungen erstmals praktisch umgesetzt. Cheri steht dabei für Capability Hardware Enhanced RISC Instructions.

Zu Cheri heißt es: "Die Speicherschutzfunktionen von Cheri ermöglichen die Anpassung historisch speicherunsicherer Programmiersprachen wie C und C++, um einen starken, kompatiblen und effizienten Schutz gegen viele derzeit weit verbreitete Schwachstellen zu bieten". Ziel ist es also, eine der wichtigste Klassen von Sicherheitslücken bereits in der Hardware zu verhindern.

Grundsätzlich neu sind derartige Ansätze über eine Absicherung in Hardware nicht, sie reichen zurück bis zu den Anfängen der MMU. Inzwischen werden in aktuellen CPU-Architekturen dafür Funktionen wie etwa das Memory Tagging von ARM genutzt, das bereits in Android oder Linux genutzt wird. Das Cheri-Projekt setzt nun auf die sogenannten Capabilitys, mit denen seit Jahrzehnten experimentiert wird, die in aktuellen CPU-Architekturen aber nicht genutzt werden.

CPU-Capabilitys von Cheri

Mit Cheri und dem Morello-Projekt gehen die Beteiligten aber deutlich darüber hinaus. Microsoft beschreibt das Problem bisheriger Architekturen so: "Jeder Code, der in einem Prozess ausgeführt wird, kann einen ganzzahligen Wert konstruieren, und wenn diese Ganzzahl einer gültigen Stelle im Adressraum des Prozesses entspricht, kann er an dieser Stelle auf den Speicher zugreifen". Davon machten Angreifer "jeden Tag" Gebrauch.

Zu Cheri schreibt Microsoft im Gegensatz dazu: "Jeder Lade- oder Speicherbefehl und jeder Befehlsabruf muss durch eine Architektur-Capability autorisiert werden. Lade- und Speicherbefehle nehmen anstelle einer ganzzahligen Adresse eine Capability als Basis. Die Funktion identifiziert eine Adresse und gewährt Zugriff auf einen Speicherbereich (einschließlich Berechtigungen wie Lesen, Schreiben oder Ausführen)".

Der nun erstellte und umgesetzte Befehlssatz enthält dabei Befehle zum Steuern der Capabilitys. Die zunächst gegebenen Rechte können dabei nur verringert, jedoch nicht erweitert werden. Dies umfasse auch die Capability selbst, die als nichtadressierbares Tag-Bit im Speicher abgelegt werde. Ein Versuch, dieses zu überschreiben, mache die Capability ungültig. Der damit verbundene Speicher kann also nicht mehr genutzt werden.

Speichersicherheit in der Hardware verhindert Lücken

Mit Hilfe der Capabilitys könnte etwa die Anzahl von Sprüngen im Code begrenzt werden. Darüber hinaus entspreche in der Cheri-ABI jeder Zeiger einer Sprache wie C oder C++ genau einer Capability. Wird neuer Speicherbereich angefordert, etwa über Malloc oder new, werde dafür eine neue Capability bereitgestellt. Der Zeiger habe so nur noch Zugriff auf genau ein Objekt und es gebe keinen Mechanismus, der diesen Zeiger auf ein anderes Objekt verweisen lassen könnte.

Laut einer Sicherheitsanalyse der Architektur konnte Microsoft damit mehr als 40 Prozent der vom MSRC bearbeiteten Sicherheitslücken verhindern. In einem Desktop-System mit freier Software steige die Rate einer weiteren Untersuchung (PDF) zufolge deutlich an, was die Vorteile von Cheri zeigt. Zur Nutzung im aktuellen Code reiche dabei im besten Fall ein Neukompilieren, oft seien aber auch nur kleinere Anpassungen notwendig, so Microsoft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Google
Chrome testet Rust und sicheres C++
artikel-bild
Security
Apple will Zero-Click-Exploits in iOS verhindern
artikel-bild
Malware
Microsoft warnt vor ungewöhnlicher Schadsoftware in Ukraine
Meistgelesen
artikel-bild
Elektro-SUV Ford Explorer angesehen
Blechkleid aus Köln, Unterwäsche aus Wolfsburg
artikel-bild
Beta angespielt
Diablo 4 bereitet Vorfreude und Kopfschmerzen zugleich
artikel-bild
Offener Brief an Sundar Pichai
Alphabet-Angestellte bitten ihren Chef, nichts Böses zu tun
Kommentarübersicht
Tschüss Code Injections
ChemoKnabe 25. Jan 2022

Am Ende geht es nur darum, Code Injections jeglicher Art, sowie Manipulationen zu...

Re: Ich verstehe es nicht ganz
Steffo 24. Jan 2022

Nein, es kommt ganz auf das Konzept an. Rust macht diese Überprüfungen alle zur...

Wieso so aufwändig
Proctrap 24. Jan 2022

Nach Aussage der Experten musst du einfach nur guten C(++) code schreiben, dann ist das...

Re: Softwarefehler in der Hardware verhindern?
Das... 24. Jan 2022

Die Erfahrung zeigt eben, dass es selbst nach Jahren der Anstrengung genau das eben nicht...

Aktuell auf der Startseite von Golem.de
Lego-kompatibel
Klemmbaustein mit Display zeigt künstlichen Horizont

Der kleine, Lego-kompatible Klemmbaustein hat ein kleines Display eingebaut, auf dem ein funktionierender künstlicher Horizont läuft.

Lego-kompatibel: Klemmbaustein mit Display zeigt künstlichen Horizont
Artikel
  1. E-Fuels: Kommt die elektronische Betankungsüberwachung?
    E-Fuels
    Kommt die elektronische Betankungsüberwachung?

    Offenbar will die EU-Kommission der FDP in Sachen E-Fuels entgegenkommen. Künftig könnten Autos bei falsch getanktem Sprit stehenbleiben.

  2. Offener Brief an Sundar Pichai: Alphabet-Angestellte bitten ihren Chef, nichts Böses zu tun
    Offener Brief an Sundar Pichai
    Alphabet-Angestellte bitten ihren Chef, nichts Böses zu tun

    "Don't Be Evil" war lange das Motto von Google. Mit diesen Worten endet auch ein offener Brief von Angestellten an ihren CEO Sundar Pichai.

  3. Gegen Handelsblockade: Neue Freiheit für Chinas Halbleiterbranche
    Gegen Handelsblockade
    Neue Freiheit für Chinas Halbleiterbranche

    China fehlt der Chip-Nachschub aus Taiwan, mit mehr Freiheit für heimische Hersteller will die Regierung gegensteuern. Ein Manager hat seine Freiheit aber offenbar verloren.
    Eine Analyse von Johannes Hiltscher

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • NBB Black Weeks: Rabatte bis 60% • PS5 + Resident Evil 4 Remake 569€ • LG OLED TV -57% • WD SSD 2TB (PS5) 167,90€ • MindStar: Ryzen 9 7900X3D 625€ • Amazon Coupon-Party • Gainward RTX 3090 1.206€ • Samsung ext. SSD 2TB 159,90€ • Neue RAM-Tiefstpreise • Bosch Professional [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /