Affected Platforms

Extended Description

AI Translation

Software may use a variety of techniques to preserve the confidentiality of private data that is accessible within the current processor context. For example, the memory safety and type safety properties of some high-level programming languages help to prevent software written in those languages from exposing private data. As a second example, software sandboxes may co-locate multiple users' software within a single process. The processor's Instruction Set Architecture (ISA) may permit one user's software to access another user's data (because the software shares the same address space), but the sandbox prevents these accesses by using software techniques such as bounds checking.

If incorrect or stale data can be forwarded (for example, from a cache) to transient operations, then the operations' microarchitectural side effects may correspond to the data. If an attacker can trigger these transient operations and observe their side effects through a covert channel, then the attacker may be able to infer the data. For example, an attacker process may induce transient execution in a victim process that causes the victim to inadvertently access and then expose its private data via a covert channel. In the software sandbox example, an attacker sandbox may induce transient execution in its own code, allowing it to transiently access and expose data in a victim sandbox that shares the same address space.

Consequently, weaknesses that arise from incorrect/stale data forwarding might violate users' expectations of software-based memory safety and isolation techniques. If the data forwarding behavior is not properly documented by the hardware vendor, this might violate the software vendor's expectation of how the hardware should behave.

AI Generated Translation

Il software può utilizzare una varietà di tecniche per preservare la riservatezza dei dati privati accessibili all'interno del contesto del processore corrente. Ad esempio, le proprietà di sicurezza della memoria e di sicurezza dei tipi di alcuni linguaggi di programmazione di alto livello aiutano a prevenire che il software scritto in tali linguaggi esponga dati privati. Come secondo esempio, le sandbox software possono co-localizzare più software di utenti diversi all’interno di un singolo processo. L'Instruction Set Architecture (ISA) del processore può consentire al software di un utente di accedere ai dati di un altro utente (poiché il software condivide lo stesso spazio di indirizzi), ma la sandbox impedisce tali accessi utilizzando tecniche software come il controllo dei limiti.

Se dati errati o obsoleti possono essere inoltrati (ad esempio, dalla cache) a operazioni transitorie, allora gli effetti collaterali microarchitetturali di queste operazioni potrebbero corrispondere ai dati stessi. Se un attaccante può innescare queste operazioni transitorie e osservare i loro effetti collaterali attraverso un canale nascosto, allora potrebbe essere in grado di dedurre i dati. Ad esempio, un processo attaccante può indurre l'esecuzione transitoria in un processo vittima che provoca al vittima di accedere involontariamente ai propri dati privati e di esporli tramite un canale nascosto. Nell'esempio della sandbox software, una sandbox attaccante può indurre l'esecuzione transitoria nel proprio codice, consentendogli di accedere temporaneamente e di esporre i dati in una sandbox vittima che condivide lo stesso spazio di indirizzi.

Di conseguenza, le vulnerabilità derivanti dal forwarding di dati errati o obsoleti potrebbero violare le aspettative degli utenti riguardo alle tecniche di sicurezza e isolamento della memoria basate sul software. Se il comportamento di forwarding dei dati non è adeguatamente documentato dal fornitore hardware, ciò potrebbe violare le aspettative del fornitore di software su come dovrebbe comportarsi l'hardware.

Technical Details

AI Translation

Common Consequences

confidentiality

Impacts

read memory

Detection Methods

automated static analysis manual analysis automated analysis

Potential Mitigations

Phases:

architecture and design requirements build and compilation documentation

Descriptions:

• Processor designers, system software vendors, or other agents may choose to restrict the ability of unprivileged software to access to high-resolution timers that are commonly used to monitor covert channels.

• Processor designers may expose registers (for example, control registers or model-specific registers) that allow privileged and/or user software to disable specific predictors or other hardware features that can cause confidential data to be exposed during transient execution.

• Isolate sandboxes or managed runtimes in separate address spaces (separate processes).

• Use software techniques that can mitigate the consequences of transient execution. For example, address masking can be used in some circumstances to prevent out-of-bounds transient reads.

• If a hardware feature can allow incorrect or stale data to be forwarded to transient operations, the hardware designer may opt to disclose this behavior in architecture documentation. This documentation can inform users about potential consequences and effective mitigations.

• The hardware designer can attempt to prevent transient execution from causing observable discrepancies in specific covert channels.

• Processor designers may expose instructions or other architectural features that allow software to mitigate the effects of transient execution, but without disabling predictors. These features may also help to limit opportunities for data exposure.

• Use software techniques (including the use of serialization instructions) that are intended to reduce the number of instructions that can be executed transiently after a processor event or misprediction.

• Include serialization instructions (for example, LFENCE) that prevent processor events or mis-predictions prior to the serialization instruction from causing transient execution after the serialization instruction. For some weaknesses, a serialization instruction can also prevent a processor event or a mis-prediction from occurring after the serialization instruction (for example, CVE-2018-3639 can allow a processor to predict that a load will not depend on an older store; a serialization instruction between the store and the load may allow the store to update memory and prevent the mis-prediction from happening at all).

• If the weakness is exposed by a single instruction (or a small set of instructions), then the compiler (or JIT, etc.) can be configured to prevent the affected instruction(s) from being generated, and instead generate an alternate sequence of instructions that is not affected by the weakness.

AI Generated Translation

Common Consequences

riservatezza

Impacts

leggere memoria

Detection Methods

analisi statica automatizzata analisi manuale analisi automatizzata

Potential Mitigations

Phases:

architettura e design requisiti compilazione e build documentazione

Descriptions:

• I progettisti di processori, i fornitori di software di sistema o altri agenti possono scegliere di limitare la capacità del software non privilegiato di accedere ai timer ad alta risoluzione, comunemente utilizzati per monitorare canali nascosti.

• I progettisti di processori possono esporre registri (ad esempio, registri di controllo o registri specifici del modello) che consentono al software privilegiato e/o utente di disabilitare specifici predittori o altre funzionalità hardware che possono causare l'esposizione di dati riservati durante l'esecuzione transitoria.

• Isolare sandbox o runtime gestiti in spazi di indirizzo separati (processi separati).

• Utilizzare tecniche software che possano mitigare le conseguenze dell'esecuzione transitoria. Ad esempio, l'address masking può essere impiegato in alcune circostanze per prevenire letture transitorie fuori limite.

• Se una funzionalità hardware può consentire il forwarding di dati errati o obsoleti alle operazioni transitorie, il progettista hardware può scegliere di divulgare questo comportamento nella documentazione architetturale. Questa documentazione può informare gli utenti sulle potenziali conseguenze e sulle mitigazioni efficaci.

• Il progettista hardware può tentare di impedire che l'esecuzione transitoria provochi discrepanze osservabili in canali nascosti specifici.

• I progettisti di processori possono esporre istruzioni o altre caratteristiche architetturali che consentono al software di mitigare gli effetti dell'esecuzione transitoria, senza disabilitare i predictor. Queste caratteristiche possono anche contribuire a limitare le opportunità di esposizione dei dati.

• Utilizzare tecniche software (comprese le istruzioni di serializzazione) volte a ridurre il numero di istruzioni che possono essere eseguite transientemente dopo un evento del processore o una previsione errata.

• Includere istruzioni di serializzazione (ad esempio, LFENCE) che impediscono agli eventi del processore o alle mis-predizioni precedenti all'istruzione di serializzazione di causare esecuzione transitoria dopo l'istruzione di serializzazione. Per alcune vulnerabilità, un'istruzione di serializzazione può anche prevenire che un evento del processore o una mis-predizione si verifichino dopo l'istruzione di serializzazione (ad esempio, CVE-2018-3639 può consentire a un processore di prevedere che un load non dipenda da uno store più vecchio; un'istruzione di serializzazione tra lo store e il load può permettere allo store di aggiornare la memoria e prevenire che la mis-predizione si verifichi del tutto).

• Se la vulnerabilità viene esposta da un'unica istruzione (o da un piccolo insieme di istruzioni), allora il compilatore (o JIT, ecc.) può essere configurato per impedire la generazione delle istruzione(i) interessata(e), e invece generare una sequenza alternativa di istruzioni che non siano influenzate dalla vulnerabilità.

CWE-1422

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Iscriviti alla newsletter