コールゲート

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索

コールゲートx86 アーキテクチャCPUに搭載されたセキュリティ機構である。CALL命令による呼び出しで上位の特権レベルのコードをあらかじめ登録されたものに限って実行することができる。

動作[編集]

このような上位の特権レベルのコードを実行するための仕組みは、ユーザアプリケーションからのカーネルのファンクションやシステムコールの呼び出しをOSが制御することができるので、メモリ保護を行う現在のOSに必須のメカニズムである。

コールゲートを使った呼び出しでは、GDT (Global Descriptor Table) や LDT (Local Descriptor Table) にある特権障壁を越える呼び出しに必要な情報が記載されている特別なエントリを指すセレクタを使用する。 ソフトウェア割り込みと似たようなメカニズムである。

ユーザプログラムからコールゲートを使ってカーネルの機能を利用する場合、CALL FAR (LCALL) 命令に呼び出したい関数のコールゲートをセグメントセレクタに指定して実行するだけでよい (オフセット指定は無視される)。 コールゲートエントリのチェックと呼び出す権限の有無を確かめられた後、CS/EIP がセグメントデスクリプタから読み出され、呼び出し側の継続が新しいスタックに積まれる。(呼び出し側のSS, ESP, CS, EIPが順に積まれる) 必要な引数も呼び出し側の(低い権限の)スタックから呼ばれた側の(高い権限の)スタックへコピーされる。コピーする引数の数はコールゲートのセグメントデスクリプタで指定されている。

カーネルプログラムからはRET FAR (LRET)によって元の権限レベルに戻る。

使用例[編集]

他のアーキテクチャではコールゲートはサポートされていなかったため、移植性の問題からソフトウェア割り込みを使用したカーネルが多かった。また、新しく導入されたSYSENTER/SYSEXIT命令 (Intel) や SYSCALL/SYSRET命令 (AMD)により、より多くの高速なメカニズムに移行している。

これらと比べた利点として、コールゲートでは任意の特権レベルから、それより高い任意の特権レベルを呼び出すことができることが挙げられる。sysenter/sysexit命令やsyscall/sysret命令では3 -> 0と0 -> 3レベルの移行しかサポートしていない。また、ソフトウェア割り込みと比較した場合、コールゲートの方がかなり高速である。

使用例にはSolaris/x86[1]がある。

セキュリティ問題[編集]

GDTのあるメモリ領域が適切に保護されなければ、ユーザプログラムからコールゲートを設定することで任意のコードを特権レベル0で実行できるというセキュリティ上の欠陥として利用されうる。2006年に出現したMicrosoft WindowsのE-mailワームGurong.Aは\Device\PhysicalMemoryを通じてGDTを操作し、コールゲートを作ることで特権の昇格を行っている。

参考文献[編集]

  1. ^ Daniel Pierre Bovet, Marco Cesatí "Understanding the Linux Kernel" O'Reilly Media, Inc., 2006 p.45