| RFC-0102:禁止将 CHILD_NO_WRITE 与 CHILD_RESIZABLE 搭配使用 | |
|---|---|
| 状态 | 已接受 |
| 区域 |
|
| 说明 | 将 ZX_VMO_CHILD_NO_WRITE 和 ZX_VMO_CHILD_RESIZABLE 一起传递给 zx_vmo_create_child 会导致错误 |
| 问题 | |
| Gerrit 更改 | |
| 作者 | |
| 审核人 | |
| 提交日期(年-月-日) | 2021-05-25 |
| 审核日期(年-月-日) | 2021-06-10 |
摘要
此 RFC 建议将将 ZX_VMO_CHILD_NO_WRITE 和 ZX_VMO_CHILD_RESIZABLE 的组合传递给 zx_vmo_create_child 视为错误。
设计初衷
使用 zx_vmo_create_child 创建设置了 ZX_VMO_CHILD_NO_WRITE 标志的子 VMO 会明确从生成的句柄中移除 ZX_RIGHT_WRITE。由于这是此时对新创建的 VMO 的唯一句柄,并且其权限永远无法升级为包含 ZX_RIGHT_WRITE,因此无法再生成具有 ZX_RIGHT_WRITE 的 VMO 的其他句柄。
可对使用 ZX_VMO_CHILD_RESIZABLE 创建的 VMO 子项执行的大小调整操作 zx_vmo_set_size 需要 ZX_RIGHT_WRITE,因为它可能会导致修改 VMO 数据。
将这两个标志同时传递给 zx_vmo_create_child 会成功创建 VMO,并返回一个句柄,如果调用 zx_vmo_set_size,则会出错。从用户的角度来看,如果使用 ZX_VMO_CHILD_RESZIABLE 成功创建了对象,但调整大小操作却失败了,这会非常令人困惑。不仅立即生成的句柄会失败,而且由于句柄权限无法升级,因此无法生成可调整大小的此对象句柄。
设计
zx_vmo_create_child 系统调用将在开始时检查 ZX_VMO_CHILD_NO_WRITE 和 ZX_VMO_CHILD_RESIZABLE 标志是否均已设置,如果已设置,则立即返回 ZX_ERR_INVALID_ARGS。
实现
所有更改都可以在单个 CL 中实现。
性能
不相关。
向后兼容性
此标志组合目前没有已知用法。
安全注意事项
无。
隐私注意事项
无。
测试
添加了用于验证限制的单元测试。
文档
zx_vmo_create_child 的 API 文档需要更新。
缺点、替代方案和未知情况
专用右侧调整大小
ZX_RIGHT_WRITE 用于控制 zx_vmo_set_size 操作,因为调整大小会通过截断或零扩展来修改 VMO。这是一个非常有限且可预测的一组修改,因此可以拥有自己的专用权限,以将其与任意修改区分开来。
即使拥有此类专用权限,ZX_VMO_CHILD_NO_WRITE 也几乎肯定会剥夺该权限,因为 ZX_VMO_CHILD_NO_WRITE 的目的是防止代码修改。截断和零扩展的组合(尤其是在 x86 等可变指令长度架构上)可能会导致恶意指令的形成,即使仅限于在页边界上执行。
不进行任何操作
另一种方法是保持系统调用的原样,并可能记录以下事实:成功时,生成的句柄可能无法调整大小,即使请求了也是如此。