ret2spec: Speculative Execution Using Return Stack Buffers

Speculative execution is an optimization technique that has been part of CPUs for over a decade. It predicts the outcome and target of branch instructions to avoid stalling the execution pipeline. However, until recently, the security implications of speculative code execution have not been studied. In this paper, we investigate a special type of branch predictor that is responsible for predicting return addresses. To the best of our knowledge, we are the first to study return address predictors and their consequences for the security of modern software. In our work, we show how return stack buffers (RSBs), the core unit of return address predictors, can be used to trigger misspeculations. Based on this knowledge, we propose two new attack variants using RSBs that give attackers similar capabilities as the documented Spectre attacks. We show how local attackers can gain arbitrary speculative code execution across processes, e.g., to leak passwords another user enters on a shared system. Our evaluation showed that the recent Spectre countermeasures deployed in operating systems can also cover such RSB-based cross-process attacks. Yet we then demonstrate that attackers can trigger misspeculation in JIT environments in order to leak arbitrary memory content of browser processes. Reading outside the sandboxed memory region with JIT-compiled code is still possible with 80\% accuracy on average.Comment: Updating to the cam-ready version and adding reference to the original pape

Secularization and Its Vicissitudes in Georgia

No abstrac

Der Heilige als eine Präfiguration des Kulturheros

Die Figur des Heiligen, so wie sie das Christentum hervorbrachte, gehört zum Kernbestand des Religiösen. Das Fortleben dieses Kernelements in der Welt der Moderne bedeutet, dass die durch Aufklärung und Säkularisierung freigesetzte religiöse Aura aufgehoben und auf 'große Männer', auf die "Helden der Neuzeit" übertragen wurde. Diese These [Ernst] Cassirers behauptet eine Genealogie des Mythos vom außergewöhnlichen Menschen, der gemäß der historischen Zeitlage ideologiekonform seine Gestalt wechseln kann, wobei die Antriebskraft der kultischen Verehrung bestehen bleibt. Wenn der neue "Held der Moderne", der in [Thomas] Carlyles Figur des Kulturheros seinen Ursprung hat, ein Geschöpf des säkularen Zeitalters - ein "verweltlichter Heiliger" - ist, so lässt sich Cassirers These dahingehend ergänzen, dass der christliche Heilige als dessen Präfiguration betrachtet werden kann. Das bedeutet jedoch nicht, die Figur der Kulturheroen direkt von der des Heiligen herzuleiten. Vielmehr kann der Heilige im Kulturheros in vielerlei Hinsicht als Präfiguration wiedererkannt werden. Der Heilige wiederum weist seinerseits nicht nur historisch, sondern auch genealogisch Verbindungen mit einer anderen Figur auf, und zwar dem vorchristlichen Heros, welcher zwar kein göttliches, aber ein über den Menschen stehendes Wesen ist. In diesem Sinne kann man den Heiligen als eine genealogische Stufe zwischen den mythischen Heroen der Antike und den 'großen Männern' der Moderne betrachten, welcher Eigenschaften sowohl seiner Vorläufer als auch seiner Nachfolger aufweist. Die Absicht des vorliegenden Beitrages liegt darin, diese genealogischen Linien zu verfolgen und sowohl Ähnlichkeiten als auch Differenzen aufzuzeigen

Prometheus Stalin : vom georgischen Nationalheros zum sozialistischen Messias der Menschheit

Obwohl mit dem "Personenkult" um Josef Stalin (1878−1953) vor allem die Inszenierungen seiner Macht und sein Führungsstil bezeichnet werden, ging der Kult um seine Person über den Rahmen des Politischen hinaus: Stalin wurde mit der Zeit zunehmend zu einer kulturstiftenden Figur, ja gar zu einem kulturellen Symbol stilisiert, das eine ganze Epoche prägte. Wenn überhaupt von einem "Gesamtkunstwerk Stalin" (Boris Groys) die Rede sein kann, dann bezeichnet dieser Begriff gleichermaßen die Epoche Stalins wie ihren Hauptprotagonisten, dessen Selbstinszenierungen als ein Kulturphänomen, ein 'Kunstwerk' der Zeit betrachtet werden können. In diesem "Gesamtkunstwerk" erscheint er sowohl als ein demiurgischer Herrscher als auch als ein prometheischer Heros - als Befreier und Kulturstifter. Der "Führer", der die sowjetischen Völker zum Siege führt, ist zugleich der "Lehrer", der lehrt was richtig und was falsch ist. [...] Er ist eine Figur der Revolution, berufen, sein Land aus dem Chaos zu führen und eine neue Ordnung herzustellen. Diese neue Ordnung reicht über das Machtpolitische hinaus ins Kulturelle: Der revolutionäre Heros ist ein Kulturstifter, dessen Mission eine prometheische Tat, und zwar die Erschaffung eines neuen Menschen ist. Die Herrscher, die als Kulturheroen inszeniert werden, sind vor allem nationale Heroen und werden mit einer Nation identifiziert, die sie vertreten. Im Falle Stalins ist dieses Modell komplizierter, denn er steht an der Spitze des Vielvölkerstaates, der sich als eine "Völkerfamilie" darstellt. Daher muss er als Heros für alle Völker der UdSSR gleichermaßen gelten. Zugleich ist er aber ein Georgier und diese Tatsache beschert seinem Geburtsland eine symbolische Sonderstellung, sie verleiht Stalin als kulturheroischer Figur gewissermaßen zwei Gesichter: das allgemeinsowjetische und das national-georgische

Die Familienmetaphorik der sowjetischen Völkerfreundschaft

Nachdem das letzte sowjetische Staatsoberhaupt Michail Gorbatschow 1986 die Perestroika und die Glasnost, d.h. die Meinungsfreiheit in der UdSSR, verkündete, wurde der gesamte Sowjetstaat innerhalb weniger Jahre zum Schauplatz ethnischer und nationaler Spannungen. Den Untergang des multinationalen Imperiums war von Konflikten und militärischen Auseinandersetzungen zwischen den einst 'brüderlich' miteinander lebenden und für den Kommunismus aufbauenden Völkern begleitet. Nun kämpften sie sogar mit aller Brutalität gegeneinander. Die einstigen Nachbarn und Freunde erhoben sich gegeneinander, als ob sie auf den Moment gewartet hätten, ihren Hass freizusetzen. Der ethnisch motivierte Hass war nicht selten der erste Ausdruck der Meinungsfreiheit. Die Sowjetunion, die sich 70 Jahre lang als festgefügte Union "freier" und "brüderlicher" Völker inszenierte, zerbrach genau an dieser Stelle - am Konzept der Völkerfreundschaft. Besonders schwer betroffen war der gesamte Kaukasus, wo in Berg-Karabach auch der erste bewaffnete Konflikt ausbrach. Die ethnisch-kulturelle Vielfalt dieser Region wurde den dort lebenden Völkern zum Verhängnis. Die Situation ließe sich treffend mit den folgenden Worten Primo Levis beschreiben: "Viele, ob Individuen oder Völker, können mehr oder minder bewusst dem Glauben anheimfallen, dass 'jeder Fremde ein Feind ist'". Die Feindschaft, die der Entfremdung entsprang, ent-fremdete die Menschen voneinander vor allem hinsichtlich ihrer Herkunft und ihrer ethnischen Zugehörigkeit. In den ehemaligen Teilrepubliken betrachtete man nun die autonomen Republiken oder Gebiete als tickende Minen im Körper eines nach Unabhängigkeit strebenden Landes, die man daher als erstes unschädlich machen sollte. Diejenigen "nationalen Minderheiten", die über keine administrativ-territorialen Gebilde innerhalb der Republiken verfügten, ursprünglich aus anderen Sowjetrepubliken stammten oder die sich auf Grund ihrer Abstammung einem anderen, jetzt eigenständigen Land zuordnen ließen, wurden nun zu 'Gästen' erklärt

Genese und Genealogie : zur Bedeutung und Funktion des Ursprungs in der Ordnung der Genealogie

"Genealogia" hieß auf Griechisch die Erzählung von der Geburt der Götter und der von ihnen erschaffenen Welt. Der griechische Kosmos, war eine genealogische Konstruktion, die ursprungsmythischem Denken ebenso entsprang, wie sie es abbildete. Als Urform des Weltverstehens hat die Genealogie Jahrhunderte lang die Ordnung der Dinge in der vormodernen Welt bestimmt. Das vorliegende Buch erschließt das genealogische Denken vom Mythos des Ursprungs her. Protogonos - der "Erstgeborene" der orphischen Kosmogonie - ist ein urgöttliches Wesen, das in sich die Keime aller Seienden enthält, und immer wieder ist das Ursprüngliche ein paradigmatische Vorgänger, der die Zukunft weist und vorbestimmt. Am Ursprung durch die Genealogie verankert schufen die Menschen ihre ersten Gemeinschaften, die sich im Laufe der Geschichte bis zu den modernen Nationalstaaten entwickelten. Dabei scheint die Blutsverwandtschaften eine zweitrangige Rolle zu spielen, aber auch in der Zeit der Moderne ist die Menschheit nicht nur einmal in die "ursprungsmythische Geisteslage" vom "Blut und Boden" verfallen. 1933 schrieb Paul Tillich: "Der Ursprung enthält in sich das Gesetz des Kreislaufs: Was von ihm kommt, muss zu ihm zurück. Wo der Ursprung herrscht, kann es das Neue nicht geben. Die Herrschaft des Woher macht die Ernsthaftigkeit des Wozu unmöglich.

Heim, Heimat - Pater, Patria : vom mythischen Grund des Patriotismus

Patriotismus ist ein hybrides Phänomen, dessen Elemente eine sehr unterschiedliche Genese haben. Im Folgenden sollen vor allem die beiden gewichtigsten Bestandteile diskutiert werden, indem die semantischen Reihen von "Heim"/"Heimat" und "pater"/"patria" beleuchtet werden. In ihren semantischen Feldern überkreuzen sich mythische und etymologische Spuren

What Cannot Be Read, Cannot Be Leveraged? Revisiting Assumptions of JIT-ROP Defenses What Cannot be Read, Cannot be Leveraged? Revisiting Assumptions of JIT-ROP Defenses

Abstract Despite numerous attempts to mitigate code-reuse attacks, Return-Oriented Programming (ROP) is still at the core of exploiting memory corruption vulnerabilities. Most notably, in JIT-ROP, an attacker dynamically searches for suitable gadgets in executable code pages, even if they have been randomized. JIT-ROP seemingly requires that (i) code is readable (to find gadgets at run time) and (ii) executable (to mount the overall attack). As a response, Execute-no-Read (XnR) schemes have been proposed to revoke the read privilege of code, such that an adversary can no longer inspect the code after finegrained code randomizations have been applied. We revisit these "inherent" requirements for mounting JIT-ROP attacks. We show that JIT-ROP attacks can be mounted without ever reading any code fragments, but instead by injecting predictable gadgets via a JIT compiler by carefully triggering useful displacement values in control flow instructions. We show that defenses deployed in all major browsers (Chrome, MS IE, Firefox) do not protect against such gadgets, nor do the current XnR implementations protect against code injection attacks. To extend XnR's guarantees against JIT-compiled gadgets, we propose a defense that replaces potentially dangerous direct control flow instructions with indirect ones at an overall performance overhead of less than 2% and a code-size overhead of 26% on average

Speculose: Analyzing the Security Implications of Speculative Execution in CPUs

Whenever modern CPUs encounter a conditional branch for which the condition cannot be evaluated yet, they predict the likely branch target and speculatively execute code. Such pipelining is key to optimizing runtime performance and is incorporated in CPUs for more than 15 years. In this paper, to the best of our knowledge, we are the first to study the inner workings and the security implications of such speculative execution. We revisit the assumption that speculatively executed code leaves no traces in case it is not committed. We reveal several measurable side effects that allow adversaries to enumerate mapped memory pages and to read arbitrary memory---all using only speculated code that was never fully executed. To demonstrate the practicality of such attacks, we show how a user-space adversary can probe for kernel pages to reliably break kernel-level ASLR in Linux in under three seconds and reduce the Windows 10 KASLR entropy by 18~bits in less than a second