据我了解,MTE 使用了 ARM 的 TBI(最高位忽略)功能,因此虚拟内存地址中的前 4 位中的一些用于携带内存分配的标记。
但是我很好奇 MTE 如何捕捉到这一点:
u8 arr[17];
arr[18] = 1;
arr所以如果我访问
arr[18]只有当我访问
arr[32:]我不确定这是否正确,或者我是否遗漏了一些东西..
最重要的是,操作系统通常会以页粒度分配内存,我不确定这是否会影响任何事情..
是的,你是对的。
MTE 是一个帮助者,而不是一个确定的答案。它无法捕获同一颗粒内的溢出物。
如果攻击者对程序有足够的控制权,它也可能容易受到标签重用的影响。堆喷射和堆按摩是众所周知的技术,虽然变得更加困难,但并非不可能与 MTE 一起使用。
但是,关于操作系统按页面大小分配内存的部分虽然正确,但并不相关。操作系统返回页面,是的,但是分配器(即
mallocstg