※所属機関の見解や分析結果ではありません。
CPUはユーザーモードで実行されているプログラムであっても処理を高速化させるために、特定の分岐処理を行う場合にのみカーネルモードに移行して、投機的なコード実行を行います。
この投機的なコード実行とは、分岐先を事前に予測して
先回りして処理を行うことをここでは指します。
この時勿論ですがユーザーモードからカーネルの資産は見えません。
カーネルモードで処理が完了すると再度ユーザーモードに
演算結果が返され、ユーザーモードのプロセスページテーブルに鎮座します。
この一連の流れを「暗黙的キャッシング」とIntelの開発者マニュアルには記載があります。
では仮に、先行してカーネルモードで演算した分岐処理が
実は必要ないものだったらどうなるでしょうかというのが
今回の攻撃手法のミソです。
その場合、なんとカーネルモードで生成された他のアプリケーションやOSの処理に必要な資産も含めてL1キャッシュにReadableな常態でとどまります。
まずカーネルモードへの移行ですが、これは特定のコードを書けば意図的に投機的コード実行を誘発できます（コードは略）
次に分岐予測演算を意図的に間違わせ、ユーザーモードのL1へ他の資産とともに舞い戻ってもらうためには
汎用分岐予測器の処理に注目する必要があります。
その中にソースアドレスの下位31ビット（たしか）
とBTBエントリー（分岐目標バッファ）をXORして値を渡す処理が存在しますが、ここに特殊な処理用のビットが2つ存在しこれも同じタイミングでXORに掛けられます。
ようは固定でXORに追加されるビットが存在するということです。
ということはこの2つのビットと同じ値でXORされると
汎用分岐予測器はこれから結果が入るはずのアドレスと
ソースアドレスの見分けがつかなくなります。（取り出せなくなる）
これにより汎用分岐予測器の処理は失敗に終わり
次に汎用予測子による再予測が始まります。
この時、ブランチヒストリバッファ（BHB）に対して
Flush+Reload（複数コアに対するサイドチャネル攻撃の連続試行）
等を実施することで、その状態をダンプすることが可能です。
このようにしてどんどんカーネルメモリをダンプしていきます。
文字数制限・・・