Intel MPX

Intel MPX (англ. Memory Protection Extensions — расширения защиты памяти) — расширение набора инструкций для архитектуры x86/x86-64, предложенное в 2013 году. С поддержкой со стороны компилятора, библиотек среды выполнения и операционной системы, расширение Intel MPX увеличивает безопасность программ по отношению к доступу к памяти, добавляя проверки доступа по указателям, в частности, для предотвращения атак, использующих переполнение буфера.

Поддержка расширения была удалена из многих программных продуктов в конце 2018 — начале 2019 года.

Расширения

MPX вводит новые регистры границ и несколько инструкций, которые обрабатывают эти регистры. Дополнительно вводится понятие «таблиц границ», которые хранят описания диапазонов памяти, в случае нехватки регистров границ.^[1][2][3][4]

MPX определяет четыре новых 128-разрядных регистра границ, BND0..BND3, каждый из которых хранит пару 64-битных нижних границ (LB) и верхних границ (UB) значений какого-то объекта в памяти, например буфера или массива. Верхняя граница хранится в формате дополнения до единицы, преобразование происходит при загрузке значения инструкциями BNDMK и BNDCU. В архитектуру добавлен пользовательский регистр конфигурации BNDCFGU, привилегированный регистр конфигурации IA32_BNDCFGS (в состав MSR-регистров), и регистр состояния BNDSTATUS, который предоставляет информацию об ошибочном адресе в памяти и код ошибки в случае исключения.^[5]

Приложение может использовать каталог границ — Bounds Directory (BD) из нескольких таблиц границ — Bounds Tables (BT), которые содержат линейные адреса указателя на буфер, вместе с границами буфера. Таблицы организованы как двухуровневое radix-дерево от линейного адреса указателя^[6]. Два инструкции загрузки и сохранения — BNDLDX и BNDSTX — синхронизируют значения регистров BNDx с границами, указанными в каталоге.^[5] Две инструкции, вставляемые компилятором, BNDCL и BNDCU, производят проверку указателя на нахождение в пределах указанных границ (нижней и верхней соответственно) и приводят к генерации исключения при выходе за границы.

Применение MPX требует дополнительной памяти для описания границ. В наихудшем случае для 4 килобайтов различных указателей (1024 или 512) потребуется 16 килобайт таблиц границ (каждая граница хранит 4 величины размером с указатель). Загрузка границ из таблиц или в таблицы является обращением в память и может несколько замедлять работу некоторых программ^[6].

Поддержка

Расширения Intel МРХ были введены в микроархитектуре Skylake.^[7] Микроархитектуры Intel Goldmont (Atom) также поддерживают Intel MPX.^[8]

Поддержка в ядре Linux появилась в версии 3.19 (8 февраля 2015),^[9][10] дополнена с версии 4.1^[6]. В 2018 году было предложено удалить поддержку Intel MPX из предстоящего релиза ядра Linux 4.20^[11][12], однако соответствующие изменения были приняты только к версии 5.6. Поддержка MPX была удалена в вышедшей в марте 2020 года версии ядра Linux 5.6^[13].

Поддерживались в компиляторе GCC в версиях с 5.2^[6][4] до 9.0 (май 2019)^[14][15]. Реализованы в Intel Compiler 15.0^[16], а также Microsoft Visual Studio 2015 Update 1^[17].

Анализ Intel MPX

В 2017 был опубликован независимый обзор расширения и сравнение технологии с тремя современными программными системами обеспечения безопасности памяти (AddressSanitizer, SAFECode, SoftBound).^[18]

• Несмотря на аппаратные блоки, используемые в Intel MPX, он не приводит к более быстрому исполнению программ по сравнению с программными методами защиты. Новые инструкции MPX в худшем приводят к четырехкратному замедлению, а при использовании оптимизаций в среднем замедление составляет около 50 %.
• В отличие от других методов, MPX не защищает от нарушений безопасной работы с памятью во времени.
• Intel MPX не содержит явных способов поддержки многопоточности, что может приводить к состоянию гонки в устаревших многопоточных приложениях если компиляторы не используют явную синхронизацию границ.
• Intel MPX не поддерживает несколько часто применяемых идиом языков C/C++ из-за ограничений на расположение участков памяти.
• Intel MPX не в полной степени совмести с отдельными расширениями, в частности возможны проблемы производительности и безопасности при смешивании с Intel TSX и Intel SGX.
• При выполнении операций MPX на старых поколениях процессоров (например, Haswell) происходит замедление примерно на 15 %.

Обзор пришел к неготовности MPX к использованию в промышленном применении и указал, что AddressSanitizer является более качественным вариантом.^[18] Такое же мнение высказал разработчик AddressSanitizer, сотрудник транснациональной корпорации Google, Kostya Serebryany^[19][20].

Изучение MPX в свете уязвимостей Meltdown и Spectre^[21] показало, что Meltdown-атаки не останавливаются при помощи Intel MPX и что возможно проведение утечки данных (фильтрации данных) через побочный канал по методике Flush+Reload при обращениях вне границ массива, защищенного MPX.

Примечания

1. Intel ISA Extensions  (неопр.). Intel. Дата обращения: 4 ноября 2013. Архивировано 10 ноября 2013 года.
2. Introduction to Intel Memory Protection Extensions  (неопр.). Intel (16 июля 2013). Дата обращения: 10 сентября 2013. Архивировано 28 июля 2013 года.
3. Discussion of Intel Memory Protection Extensions (MPX) and comparison with AddressSanitizer  (неопр.). code.google.com. Дата обращения: 4 ноября 2013. Архивировано 4 июля 2015 года.
4. Intel Memory Protection Extensions (Intel MPX) support in the GCC compiler  (неопр.). gcc.gnu.org. Дата обращения: 4 ноября 2013. Архивировано 11 июня 2019 года.
5. Intel Architecture Instruction Set Extensions Programming Reference  (неопр.) (PDF). Intel (декабрь 2013). Дата обращения: 17 января 2014. Архивировано 1 февраля 2014 года.
6. Intel® Memory Protection Extensions (Intel® MPX) for Linux* | 01.org Архивная копия от 2 апреля 2017 на Wayback Machine, 2016
7. Intel Software Development Emulator  (неопр.). Intel (15 июня 2012). Дата обращения: 4 ноября 2013. Архивировано 16 октября 2013 года.
8. Intel Software Development Emulator  (неопр.). Intel. Дата обращения: 21 ноября 2016. Архивировано 6 мая 2019 года.
9. Linux kernel 3.19, Section 1.2. Support for the Intel Memory Protection Extensions  (неопр.). kernelnewbies.org (9 февраля 2015). Дата обращения: 9 февраля 2015. Архивировано 12 февраля 2015 года.
10. Jonathan Corbet. Supporting Intel MPX in Linux  (неопр.). LWN.net (29 января 2014). Дата обращения: 9 февраля 2015. Архивировано 9 февраля 2015 года.
11. The Linux Kernel Might Drop Memory Protection Extensions Support  (неопр.). Phoronix. Дата обращения: 31 марта 2020. Архивировано 28 апреля 2020 года.
12. [GIT PULL] x86: remove Intel MPX  (неопр.). Дата обращения: 1 августа 2019. Архивировано 7 августа 2019 года.
13. Intel MPX Support Is Dead With Linux 5.6 - Phoronix  (неопр.). www.phoronix.com. Дата обращения: 31 марта 2020. Архивировано 29 февраля 2020 года.
14. GCC 9 Release Series — Changes, New Features, and Fixes - GNU Project - Free Software Foundation (FSF)  (неопр.). Дата обращения: 1 августа 2019. Архивировано 19 февраля 2022 года.
15. GCC 9 Looks Set To Remove Intel MPX Support - Phoronix  (неопр.). Дата обращения: 1 августа 2019. Архивировано 9 февраля 2019 года.
16. https://istep2016.ru/files/presentations/IntelR%20Compilers.pdf#page=26 Архивировано 21 ноября 2016 года.
17. Visual Studio 2015 Update 1: New Experimental Feature - MPX | C++ Team Blog  (неопр.). Дата обращения: 1 августа 2019. Архивировано 15 января 2019 года.
18. Oleksenko, Oleksii; Kuvaiskii, Dmitrii; Bhatotia, Pramod; Felber, Pascal; Fetzer, Christof (2017). "Intel MPX Explained: An Empirical Study of Intel MPX and Software-based Bounds Checking Approaches". arXiv:1702.00719 [cs.CR].
19. Konstantin Serebryany - Research at Google  (неопр.). research.google.com. Дата обращения: 1 августа 2019. Архивировано 16 сентября 2016 года.
20. Discussion of Intel Memory Protection Extensions (MPX) and comparison with AddressSanitizer  (неопр.). Дата обращения: 4 ноября 2013. Архивировано 12 января 2019 года.
21. Oleksenko, Oleksii; Kuvaiskii, Dmitrii; Bhatotia, Pramod; Felber, Pascal; Fetzer, Christof (2018). "A Systematic Evaluation of Transient Execution Attacks and Defenses". arXiv:1811.05441 [cs.CR].

Ссылки

• Intel Architecture Instruction Set Extensions Programming Reference (англ.). — Intel, 2013.
• Introduction to Intel Memory Protection Extensions  (неопр.). Intel (16 июля 2013). Дата обращения: 10 сентября 2013.
• Discussion of Intel Memory Protection Extensions (MPX) and comparison with AddressSanitizer  (неопр.). Дата обращения: 4 ноября 2013.
• Intel ISA Extensions  (неопр.). Дата обращения: 4 ноября 2013.
• Intel Memory Protection Extensions (Intel MPX) support in the GCC compiler  (неопр.). Дата обращения: 4 ноября 2013.
• https://01.org/blogs/2016/intel-mpx-linux