Beim Sparc-M7-Prozessor von Oracle wird auf einen Sicherheitsmechanismus namens Silicon Secured Memory (SSM) gesetzt, wobei es sich um eine neue Bezeichnung für Oracles Application-Data-Integrity-Technologie (ADI) handelt. Da Speicherfehler in Echtzeit erkennen SSM soll, kann der Sicherheitsmechanismus etwa Oracle zufolge einen Pufferüberlauf verhindern.

SSM setzt eine 64-Bit-Umgebung voraus und soll mit maschinennahen Programmiersprachen wie etwa C++ funktionieren. Der Ansatz soll, da SSM Hardware-unterstützt arbeitet, die Systemleistung nur geringfügig negativ beeinflussen.

Um Exploits zu verhindern und Speicherfehler zu erkennen, versieht SSM die Zeiger von Anwendungen auf Speicherbereiche und die jeweiligen Bereiche mit Ausführungsnummern (4 Bit) und verbietet den Zugriff, wenn die Ausführungsnummer des Zeigers nicht der Ausführungsnummer des Speicherinhalts entspricht. Diese Technik hätte zum Beispiel Orcale zufolge den SSL-Gau Heartbleed in Echtzeit verhindern können. SSM entziehe aber auch vielen Flash-Exploits die Funktionsgrundlage.

Allerdings ist der Ansatz, da sich eine Ausführungsnummer lediglich aus 4 Bit zusammensetzt, nicht ganz wasserdicht. Denn um SSM überlisten zu können müsste ein Angreifer lediglich 16 verschiedene Möglichkeiten bei einer Attacke durchspielen.

Oracle Solaris Studio soll den SSM-Ansatz bereits nutzen und schon beim Testen und Entwickeln von Anwendungen helfen, mögliche Angriffspunkte für Speicherfehler aufzudecken. Ab Version 12c soll auch Oracle Database SSM unterstützen.

Programmierer können ihre Anwendungen vergleichsweise einfach mit der SSM-Unterstützung ausstatten, erläutert der Softwarehersteller. Sie müssen dafür lediglich die von Oracle zur Verfügung gestellte Bibliothek libdiscoverADI.so in ihre Anwendungen einbauen. Die malloc()-Funktion versieht Speicherbereiche und Zeiger anschließend mit Ausführungsnummern.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE