Confira !!
Os enclaves SGX da Intel suportam patches para o kernel Linux passaram por mais de 40 rodadas de revisão neste ponto nos últimos meses, enquanto tentam obter esse recurso de segurança no kernel Linux principal. Mas o SGX não é o único recurso de segurança da Intel que está passando por um longo processo de manutenção: a Control-flow Enforcement Technology (CET) está em um barco semelhante.
A tecnologia Intel Control-Flow Enforcement visa prevenir ataques do estilo ROP e COP / JOP por meio de rastreamento indireto de ramificação e uma pilha de sombra. Os patches do Linux para o kernel e compiladores estão em desenvolvimento há anos e o suporte de hardware CET estreou recentemente com os processadores Tiger Lake.
Embora isso já esteja em andamento há algum tempo e agora por meio de quinze rodadas de revisão, ainda não foi mesclado para a linha principal. No entanto, algumas distribuições do Linux estão carregando os patches Intel CET para seus kernels de distribuição.
Yu-cheng Yu da Intel na semana passada enviou os patches v15 para habilitar a pilha de sombra CET no kernel do Linux para fornecer proteções em nível de aplicativo.
" Eu executei testes com esses patches por algum tempo e eles têm estado muito estáveis. Distribuições Linux com CET estão disponíveis agora, e processadores Intel com CET estão se tornando disponíveis. Seria bom se o suporte CET pudesse ser aceito no kernel . Estarei trabalhando para resolver quaisquer problemas, caso eles apareçam " , marcou estes patches mais recentes .
Os patches da v15 foram baseados novamente no estado Git do Linux 5.10 e tiveram outras pequenas mudanças. Os patches estão na lista de discussão há uma semana, sem qualquer comentário, então, neste estágio, não está claro se o suporte CET será escolhido para a janela de mesclagem do Linux 5.11 que ocorrerá em algumas semanas.
Aparentemente, não há muito interesse em CET quando semelhantes ao compilador de código Clang têm suas próprias opções de integridade de fluxo de controle sem exigir qualquer suporte de hardware especializado. O Google, por exemplo, usa o Clang CFI no Android há vários anos. Outras defesas baseadas em compilador também existem. Portanto, também poderia ser um caso semelhante ao suporte de curta duração da Intel MPX, mas continuaremos monitorando e veremos como os patches do kernel Linux CET funcionam para a linha principal.
Até a próxima !!
Nenhum comentário:
Postar um comentário