[一、ATF(TF-A)安全通告 TFV-8 (CVE-2018-19440)](#一、ATF(TF-A)安全通告 TFV-8 (CVE-2018-19440))

一、ATF(TF-A)安全通告 TFV-8 (CVE-2018-19440)

|-------------------------|-----------------------------------------------------------------------------------------------------------|
| Title | 不保存x0~x3寄存器可能会将信息从一个非安全世界的SMC client泄漏到另一个 |
| CVE ID | CVE-2018-19440 |
| Date | 27 Nov 2018 |
| Versions Affected | All |
| Configurations Affected | 多个非安全世界SMC clients调用到AArch64 BL31 |
| Impact | 泄漏SMC返回值从一个非安全世界SMC client到另一个 |
| Fix Version | Pull Request #1710 |
| Credit | Secmation |

二、 CVE-2018-19440

当takeing一个异常到EL3，BL31将保存CPU上下文。其目的是在返回到调用固件的较低异常级别软件之前恢复它。然而，对于SMC异常，通用寄存器x0~x3不是保存在栈上的CPU上下文的一部分。

根据SMC Calling Convention（SMC调用准则），最多可以通过寄存器x0~x3向调用者返回4个值。在TF-A中，这些返回值被写入CPU上下文中，通常使用include/lib/aarch64/smccc_helpers.h头文件中提供的SMC_RETx()宏之一。

在返回调用者之前，restore_gp_registers()函数被调用。它恢复从存储在栈上的CPU上下文中获取的所有通用寄存器的值。这包括寄存器x0~x3，可以在lib/el3_runtime/aarch64/context.S文件第339行中看到(参考commit c385955的代码版本)：

在SMC处理程序不使用所有4个返回值的情况下，其余的在CPU上下文中保持不变。因此，restore_gp_registers()恢复使用这些返回值的前一个SMC请求(或EL3的异步异常)保存的过时值。

在存在多个非安全世界SMC clients的情况下，这种行为可能会将一些返回值从一个client泄漏到另一个。例如，如果受害者client首先发送一个返回4个值的SMC，恶意client可能会发送第二个SMC，期望没有返回值(例如，SDEI_EVENT_COMPLETE SMC)来获得受害者client的4个返回值。

一般来说，由于存在多个非安全世界SMC clients，减轻威胁的责任在于EL2软件。当存在时，EL2软件必须trap来自EL1软件的SMC调用以确保安全行为。

由于这个原因，TF-A不会在SMC同步异常的CPU上下文中保存x0~x3。自第一个版本以来，它一直是这样运行的。

我们可以确认，至少上游基于kvm的系统减轻了这种威胁，因此不受此问题的影响。应该审核其他EL2软件以评估此威胁的影响。

EL2软件可能会发现减轻这种威胁有些繁重，因为对于所有smc，它都需要知道哪些返回寄存器包含有效数据，因此它可以清除任何未使用的返回寄存器。另一方面，在EL3中减轻这个问题相对容易。因此，TF-A现在将通过在调用中保留寄存器状态来确保没有信息通过寄存器x0~x3泄露。

请注意，AArch32 TF-A不受此问题影响。SP_MIN中的SMC处理代码已经保存了所有通用寄存器------包括r0~r3，可以在include/lib/aarch32/smccc_macros.S文件第19行看到(参考commit c385955的代码版本)：

参考： 9.8. Advisory TFV-8 (CVE-2018-19440) --- Trusted Firmware-A 2.9.0 documentation