物理メモリに直接アクセスする代わりに、アプリケーションは物理メモリにマップされた仮想アドレス空間で動作します。 異なるアプリケーションの仮想アドレスの範囲は重複しません。 MMU(Memory Management Unit) と呼ばれるハードウェアは、アドレス範囲の制御を容易にします。

これらの手法は、RAMを含む他のシステムコンポーネントがCPUよりもはるかに遅い場合、システム全体のパフォーマンスを向上させることができます。ある命令を実行するために、CPUはデータ入力を待つ必要がある場合、CPUは待機するのではなく、受信しようとしているデータに関する予測に従って命令に続くコードを実行します。

変数Xがデータ配列の外にあるだけでなく、プロセスに割り当てられた仮想アドレス範囲外にある場合はどうなると思いますか? CPUはとにかく命令を実行します。これは、プロセスがアドレスXにアクセスすることを許可されているかどうかを判断する責任を負うMMUも、そのジョブを実行する時間が必要なために発生します。そのため、投機的実行の場合、MMUは外部バスとまったく同じ方法で処理されます。つまり、MMUがコードを実行できるかどうかを返信する前に実行されます。

MMUがコードを実行できないと報告した場合、実行結果は単に破棄されます。

処理されたデータはすべてキャッシュ内で終了します。そして、キャッシュは、格納されているかなりの量の異なるデータを区別しません。データが投機的な実行出力であるか、命令が順番に実行されたか、あるいはそれが正しいかどうかにかかわらず、データが受信された方法と理由を気にすることはなく、データを受信したから格納しているだけです。

プロセスが0～9,999の範囲内のアドレスにアクセスできると仮定し、カーネルのメモリ空間が10,000～20,000の範囲内にあると仮定しましょう。私たちの場合、数字が実際の住所範囲を表すかどうかは関係ありません。そこで、ある命令が投機的実行モードで処理されるようにコードを配置します(たとえば、1回のループを1,000回繰り返し、エラーなしで999回、前回の反復を実行します)。命令では、アドレス15,000に格納されている値と一致します。

1. 投機的実行の一部として、CPUはアドレス15,000のデータを検索します。格納された値が98であると仮定します(事前に実行された命令は、プロセスがアクセスするはずのデータではなく、0 .～9,999の範囲内のアドレスにプロセスがアクセスできることを覚えておいてください)。
2. CPUはアドレス98(アドレス15000に位置する値)のデータを読み込みます。
3. MMUはアドレス15,000が無効であると応答します(ユニットがデータにアクセス可能かどうかを判断する前に命令が実行されることを覚えておいてください)。
4. CPUがパイプラインどっと流れ込み、アドレス98の値の代わりにエラーが発生します。
5. 私たちのアプリケーションは、割り当てられたメモリ空間内の0以上のアドレスでデータの読み取りを開始し、各アドレスにアクセスするのにかかる時間を測定します。投機的実行を誘発させないよう、アドレスを順番にアクセスしません。
6. そして、突然、他のアドレスのデータを読み取るよりも、アドレス98にアクセスする方が数倍速くなることが判明しました。

これは、誰かが最近このアドレスでデータを読み取ったことが判明したためです。そのためにデータをキャッシュしています。誰がキャッシュさせたのかと言えば、CPUです。この値98はアドレス15,000に格納されます。

これは、現代のオペレーティングシステムで物理メモリ全体がマップされているメモリのカーネル全体のメモリを読み取る方法です。

どのCPUがMeltdownの影響を受けますか?

少なくともすべてのIntel Core CPU、 Xeon、 Celeron、 Core-Series Pentium CPUが該当します。

ARM Cortex-A75チップも脆弱ではありますが、まだ消費者向けのデバイスには搭載されていません。一方、 Kryo 385とCortex-A75、 Cortex-A53を搭載したQualcomm Snapdragon 845は1ヶ月前に発表されています。Kryo 385はMeltdownに対しても脆弱である可能性が高いです。

Appleによると、iOSを実行しているすべてのデバイスが影響を受けていると発表されています。どうやらiPhoneやiPadで使用されていたCPU(たとえばiPhone 4はCortex-A8を使用しています)のすべてが含まれているわけではありませんが、現代のiPhoneやiPadのARMチップは脆弱性があるとみなされます。