我的看到 GPZ 內敘述的行為
變體 1.
eBPF JIT關閉時, CPU 應該都不能看到資料。
eBPF JIT開啟時, 等於賦予 CPU 可以看資料的權限(正不正常則不確定)。
但是 eBPF JIT 正常狀態下是關閉, 表示強制打開並不是正常狀態吧?
不然 GPZ 也不會特別去說這部分...
變體 2.(這部分有人有拿程式實做, 前陣子的討論頗多)
Intel 看到資料並且可以從中拿出資料, 這部分是 Intel 還能讀取(並能轉出, 這部分是由程式實做得知)核心對應記憶體的內容。
AMD 對這部分則是擋下來讀取不到核心對應記憶體的內容(這部分也是由程式實做得知)。
引用:
|
作者bureia
所以你的意思好像是認為eBPF JIT開啟時核心程式的資料能被用戶程式讀取是正常的? 
讓我推測你的想法
eBPF JIT關閉時,用戶程式「沒有」權限讀取核心程式的資料
所以
intel CPU能被讀到資料=有漏洞
AMD CPU不能被讀到資料=OK
eBPF JIT開啟時,用戶程式「有」權限讀取核心程式的資料
所以
intel CPU能被讀到資料=OK
AMD CPU能被讀到資料=OK |
另外, 歡迎正常討論。
失控發作的請自便....