LLVM ベースのコンパイラによるスタック情報漏えいの脆弱性
| Title |
LLVM ベースのコンパイラによるスタック情報漏えいの脆弱性
|
| Summary |
Arm Cortex-M セキュリティ拡張 (CMSE) を使用した際に、Secure から Non-secure 状態への関数呼び出しで浮動小数点値が返され、さらに Secure 状態へ移行した後に初めて浮動小数点演算が使われる場合、Secure スタックの内容が浮動小数点レジスタを通じて Non-secure 状態に漏洩する可能性があります。これにより、攻撃者が機密情報を取得できる可能性があり、限定的ではありますが Secure スタックの内容が読み取られる恐れがあります。この問題は LLVM ベースのコンパイラによって生成されたコードに特有です。
|
| Possible impacts |
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
Oct. 31, 2024, midnight |
| Registration Date |
Dec. 25, 2025, 5:18 p.m. |
| Last Update |
Dec. 25, 2025, 5:18 p.m. |
|
CVSS3.0 : 低
|
| Score |
3.7
|
| Vector |
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
Affected System
| ARM Ltd. |
|
Arm Compiler for Embedded 6.6 から 6.23 未満
|
|
arm compiler for embedded fusa 6.16
|
|
arm compiler for embedded fusa 6.21
|
|
arm compiler for functional safety 6.6
|
|
Clang 11.0.0 から 20.1.0 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2025年12月25日]
掲載 |
Dec. 25, 2025, 5:18 p.m. |
NVD Vulnerability Information
CVE-2024-7883
| Summary |
When using Arm Cortex-M Security Extensions (CMSE), Secure stack
contents can be leaked to Non-secure state via floating-point registers
when a Secure to Non-secure function call is made that returns a
floating-point value and when this is the first use of floating-point
since entering Secure state. This allows an attacker to read a limited
quantity of Secure stack contents with an impact on confidentiality.
This issue is specific to code generated using LLVM-based compilers.
|
| Publication Date |
Nov. 1, 2024, 2:15 a.m. |
| Registration Date |
Nov. 1, 2024, 5 a.m. |
| Last Update |
Nov. 1, 2024, 9:57 p.m. |
Related information, measures and tools
Common Vulnerabilities List