<div dir="ltr">JF: To Richard's point about raising this at the C++ committee level, has that already been explored? I got the impression that Richard mostly wanted to see an *attempt* to standardize the behavior across implementations. If an attempt has already been made and there is evidence of disagreement, then it seems like we may already have fulfilled point 4 of the clang language extension policy, and we can go forward with renaming the flag and making it permanent. It seems clear that there is adequate appetite for this feature.<div><br></div><div>I suppose Richard is the C++ project editor, he would know if an attempt has been made, but I do not personally have any visibility into the WG21 proceedings or communications.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Apr 29, 2020 at 6:17 PM JF Bastien via cfe-dev <<a href="mailto:cfe-dev@lists.llvm.org">cfe-dev@lists.llvm.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="overflow-wrap: break-word;"><div><div style="color:rgb(0,0,0)">I’ve consulted with folks in security, compilers, and developers of security-sensitive codebases. A few points:</div><div style="color:rgb(0,0,0)"><br></div><div style="color:rgb(0,0,0)"><ul><li>They like that automatic variable initialization provides a security mitigation for a significant percentage of observed zero-day exploits, at extremely low cost, with little chance of regression.</li><li>They like that pattern initialization is a “smoking gun” when seen in a crash log. The size+performance costs have decreased in the last year, but they’d like to see it improve further.</li><li>They like the lower size+performance cost of zero initialization as well as the safety it offers for e.g. size variables (because a size of 0xAA…AA is “infinite” which is bad for bounds checking, whereas zero isn’t). They don’t like that zero is often a valid pointer sentinel value (i.e. initializing pointers to zero can be used in unexpected data flow). They don’t like the silly long compiler flag.</li><li>We’ve deployed automatic variable initialization in a significant amount of code. The vast majority of our deployment uses pattern initialization. A small number uses zero, of which you’ll note <a href="https://opensource.apple.com/source/xnu/xnu-6153.11.26/makedefs/MakeInc.def.auto.html" target="_blank">XNU</a>. We’ve only chosen zero in cases where size or performance were measured issues.</li><li>Automatic variable initialization which might sometimes trap (as Richard suggests) is a proposal we’d like to see implemented, but we’d like to see it under its own separate flag, something like UBSan does with developers choosing trapping or logging modes. The main reason is that pure trapping with zero-init will make deployment significantly harder (it’s no longer a low-risk mitigation), and it’ll make updating our compiler significantly harder (because it might change where it generates traps over time). We also think that trapping behavior would need good tooling, for example through opt remarks, to help find and fix parts of the code where the compiler added traps. A logging mode would ease some of this burden. As well, we’re not convinced on the size+performance cost of either tapping nor logging, complicating the adoption of the mitigation.</li><li>We don’t think the design space has been explored enough. We might want to differentiate initialization more than just “floating point is 0xFF…FF, everything else is 0xAA…AA”. For example:</li><ul><li>We could pattern-init pointers (maybe with compile-time random different patterns), and zero-init scalars. This has a good mix of performance and security upsides.</li><li>We could key off heuristics to choose how to initialize, such as variable names, function names, or some machine learning model (and for those who know me: I’m not joking).</li><li>We could use a variety of runtime pseudo-random sources to initialize values.</li><li>We could add a new IR “undef” type, or different late-stage treatment of “undef”, to apply initialization after optimizations have found interesting facts about the program.</li></ul></ul></div><div style="color:rgb(0,0,0)"><br></div><div style="color:rgb(0,0,0)">We’d like to see work continue on improving this mitigation, optimizations around it, and other similar mitigations.</div><div style="color:rgb(0,0,0)"><br></div><div><br><blockquote type="cite"><div>On Apr 22, 2020, at 1:55 PM, Kees Cook via cfe-dev <<a href="mailto:cfe-dev@lists.llvm.org" target="_blank">cfe-dev@lists.llvm.org</a>> wrote:</div><br><div><div>On Wed, Apr 22, 2020 at 01:08:03PM -0700, Richard Smith wrote:<br><blockquote type="cite">On Wed, 22 Apr 2020 at 10:49, Joe Bialek <<a href="mailto:jobialek@microsoft.com" target="_blank">jobialek@microsoft.com</a>> wrote:<br><blockquote type="cite">Also not clear to me what the OS is expected to do with this trap. We have<br>a number of information leak vulnerabilities where force initialization<br>kills the bug silently.<br><br></blockquote><br>Do you really mean "kills the bug"? I would certainly believe you have a<br>number of information leak vulnerabilities where zero-init fixes the<br>*vulnerability* (and we should definitely provide tools to harden programs<br>against such vulnerabilities), but the program is still using an<br>uninitialized value and still has a bug. The idea that this compiler change<br>fixes or removes the bug is precisely the language dialect problem that I'm<br>concerned about. Developers must still think that reading an uninitialized<br>value is a bug (even if it's not a vulnerability any more) or they're<br>writing a program in a language dialect where doing that is not a bug.<br></blockquote><br>Yeah, this is another "different communities mean different things"<br>terminology glitch. For the security folks, "bug" tends to stand in for<br>"security bug" or "security flaw". But yes, as you say, the "bug"<br>(misuse of the C language) is present, but the "security flaw" gets<br>downgraded to "just a bug" in the zero-init case. :)<br><br>-- <br>Kees Cook<br>_______________________________________________<br>cfe-dev mailing list<br><a href="mailto:cfe-dev@lists.llvm.org" target="_blank">cfe-dev@lists.llvm.org</a><br><a href="https://lists.llvm.org/cgi-bin/mailman/listinfo/cfe-dev" target="_blank">https://lists.llvm.org/cgi-bin/mailman/listinfo/cfe-dev</a><br></div></div></blockquote></div><br></div></div>_______________________________________________<br>
cfe-dev mailing list<br>
<a href="mailto:cfe-dev@lists.llvm.org" target="_blank">cfe-dev@lists.llvm.org</a><br>
<a href="https://lists.llvm.org/cgi-bin/mailman/listinfo/cfe-dev" rel="noreferrer" target="_blank">https://lists.llvm.org/cgi-bin/mailman/listinfo/cfe-dev</a><br>
</blockquote></div>