有段时间没写技术总结了,今天写点吧。最近还在给公司的XEN发行版打安全补丁,基本上都是猜测执行引起的后遗症。感觉有些安全问题维护者有点大惊小怪了,比如今天说的这个,浮点上下文,就算泄露了又能咋地!
标题翻译过来就是浮点上下文延迟切换与处理器猜测执行引起的寄存器泄露。我们知道进程切换的时候会保存旧的执行环境就包括所有的寄存器并导入新进程的寄存器上下文,但是对于有浮点操作的进程并不会立即导入新进程的浮点上下文而是设置CR0.ts,因为大部分进程不会有浮点操作的需求,而且浮点相关的寄存器太多了(x87/mmx/sse/avx/avx-512)。当某个进程有浮点指令时,系统会触发#NM异常,在异常处理程序中操作系统会清除CR0.ts,并导入当前进程的浮点上下文。只在有必要的时候导入,是不是很优化?
但就是这种软件层面的优化,加上处理器无时无刻不在想方设法的猜测执行,#NM异常处理程序中如果有浮点load指令被猜测执行的话会在cache中留下印记,使得cache旁路攻击成为可能。仅仅是可能,想找到一个gadget触发旁路攻击谈何容易!
这个问题只有intel Nehalem以上的处理器有,AMD幸免于难。
XEN的解决方案是增加一个参数`eager-fpu=`,可以强制禁止浮点延迟切换,或者让XEN根据处理器型号自动决定如何操作。