Confira !!
Embora a Intel seja normalmente muito pontual no fornecimento de suporte para os principais novos recursos da CPU no Linux e frequentemente os disponibilize bem antes da disponibilidade geral do hardware, seu trabalho em torno da Tecnologia de Aplicação de Fluxo de Controle (CET) demorou muito mais do que o normal e ainda está em andamento por meio de novas rodadas de revisão de código para ser aceito no kernel Linux principal.
Os SoCs Intel Tiger Lake com suporte CET já estão disponíveis há cerca de um ano e o trabalho do Intel CET para o Linux remonta a 2017. A tecnologia Intel Control-Flow Enforcement visa prevenir ataques do estilo ROP e COP / JOP por meio de rastreamento indireto de ramificação e uma pilha de sombra. Os patches CET do lado do compilador chegaram rapidamente, mas o suporte do kernel do Linux para esse recurso de segurança está em andamento há muito tempo e até ontem está em sua 29ª rodada de revisão.
Na sexta-feira, a 29ª rodada dos patches shadow stack da CET e patches de rastreamento indireto de ramais da CET foram postados.
Os 32 patches do Linux para o suporte da pilha de sombra CET viram a maioria das mudanças com várias melhorias e ajustes de código de baixo nível, além de se basear novamente no estado do kernel upstream mais recente. Os dez patches para o rastreamento indireto de branch CET estavam apenas baseando os patches no estado do kernel upstream.
Algumas distribuições do Linux e kernels de fornecedores já estão carregando os patches Intel CET em sua forma original, enquanto esperamos para ver se os patches agora estão prontos para o próximo ciclo da linha principal ou ainda exigirão mais rodadas de revisão ... Esperamos que não seja como o Intel SGX, que levou mais de 40 rodadas de análise antes de estar pronto para o kernel principal.
Até a próxima !1
Nenhum comentário:
Postar um comentário