Lazy FPU Save/Restore (CVE-2018-3665)

Root Cause

FPU/SSE/AVX 状態の Lazy save/restore:

現代のプロセッサーは、システムパフォーマンスを改善するために多くの技術を採用しています。そのうちの 1 つが、タスク切り替え時に特定の CPU コンテキスト状態の保存と復元を延期することです。現在、プロセッサーには、科学やエンジニアリング、グラフィックスのアプリケーションで使用される高精度の浮動小数点演算を実行する専用の浮動小数点装置 (FPU) が搭載されています。この FPU は、データレジスタ、ステータスレジスタ、および制御レジスタとオペコードレジスタで独自のコンテキスト状態を維持します。

タスクやコンテキストの切り替えは、ユーザーアプリケーションがカーネル関数を呼び出す際や、プロセスがキュー内の次のプロセスを先にスケジュールしようとする際に発生します。タスク切り替え時には、プロセッサーは現在の実行コンテキスト (各種レジスタ、命令およびスタックポインターなど) を保存し、新しいプロセスのコンテキストを読み込みます。その際には、すべてのアプリケーションが FPU (浮動小数点装置) を使用するわけではないので、FPU / SSEコンテキスト状態の復元を遅らせることができます。新しくスケジュールされたプロセスが FP (浮動小数点) 命令を使用しない場合、FPU コンテキストの状態を保存/復元する必要はありません。これにより、貴重な実行サイクルを節約し、パフォーマンスを向上させることができます。

「Lazy restore」スキームでは、タスクの切り替え中に、プロセスによって実行される最初の FP 命令は、「Device not Available (DNA)」例外を生成します。すると、DNA 例外ハンドラーは、現在の FPU コンテキストを古いタスクの状態の保存領域に保存し、現行プロセス用の新しい FPU コンテキストを読み込みます。つまり、FPU 状態の読み込みは、FP 命令が現行タスクよって呼び出されるまで延期されるという、「Lazy FPU restore」になります。

最近のプロセッサーにはプロセッサー拡張機能 (“XSAVEOPT”) が含まれており、これはハードウェアにおける FPU 復元をより効率的に実装し、DNA 例外に依存することなく Lazy FPU のパフォーマンスアップをもたらすものです。これらのプロセッサーでは、Red Hat Enterprise Linux 7 はすでに eager FPU 復元を使用しているので、今回の脆弱性による影響はありません。現実には、FPU レジスタは通常ブロックメモリーコピーと文字列演算で呼び出されるので、古いプロセッサーでも Lazy FPU restore が目に見えるパフォーマンス改善をもたらすことはありません。

影響
新たにスケジュールされたタスクは、このエクスプロイトを使用して、別のタスクの浮動小数点数レジスタの状態を推測することが可能で、これを使用すると機密性のある情報が流出するおそれがあります。