一、ATF(TF-A)安全通告 TFV-8 (CVE-2018-19440)

Title	不保存x0~x3寄存器可能会将信息从一个非安全世界的SMC client泄漏到另一个
CVE ID	CVE-2018-19440
Date	27 Nov 2018
Versions Affected	All
Configurations Affected	多个非安全世界SMC clients调用到AArch64 BL31
Impact	泄漏SMC返回值从一个非安全世界SMC client到另一个
Fix Version	Pull Request #1710
Credit	Secmation

二、CVE-2018-19440

当takeing一个异常到EL3，BL31将保存CPU上下文。其目的是在返回到调用固件的较低异常级别软件之前恢复它。然而，对于SMC异常，通用寄存器x0~x3不是保存在栈上的CPU上下文的一部分。

根据SMC Calling Convention（SMC调用准则），最多可以通过寄存器x0~x3向调用者返回4个值。在TF-A中，这些返回值被写入CPU上下文中，通常使用include/lib/aarch64/smccc_helpers.h头文件中提供的SMC_RETx()宏之一。

在返回调用者之前，restore_gp_registers()函数被调用。它恢复从存储在栈上的CPU上下文中获取的所有通用寄存器的值。这包括寄存器x0~x3，可以在lib/el3_runtime/aarch64/context.S文件第339行中看到(参考commit c385955的代码版本)：

在SMC处理程序不使用所有4个返回值的情况下，其余的在CPU上下文中保持不变。因此，restore_gp_registers()恢复使用这些返回值的前一个SMC请求(或EL3的异步异常)保存的过时值。

在存在多个非安全世界SMC clients的情况下，这种行为可能会将一些返回值从一个client泄漏到另一个。例如，如果受害者client首先发送一个返回4个值的SMC，恶意client可能会发送第二个SMC，期望没有返回值(例如，SDEI_EVENT_COMPLETE SMC)来获得受害者client的4个返回值。

一般来说，由于存在多个非安全世界SMC clients，减轻威胁的责任在于EL2软件。当存在时，EL2软件必须trap来自EL1软件的SMC调用以确保安全行为。

由于这个原因，TF-A不会在SMC同步异常的CPU上下文中保存x0~x3。自第一个版本以来，它一直是这样运行的。

我们可以确认，至少上游基于kvm的系统减轻了这种威胁，因此不受此问题的影响。应该审核其他EL2软件以评估此威胁的影响。

EL2软件可能会发现减轻这种威胁有些繁重，因为对于所有smc，它都需要知道哪些返回寄存器包含有效数据，因此它可以清除任何未使用的返回寄存器。另一方面，在EL3中减轻这个问题相对容易。因此，TF-A现在将通过在调用中保留寄存器状态来确保没有信息通过寄存器x0~x3泄露。