FERRAMENTAS LINUX: A Intel lança novos patches para o Linux que fornecem o Shadow Stacks para o espaço do usuário

terça-feira, 1 de fevereiro de 2022

A Intel lança novos patches para o Linux que fornecem o Shadow Stacks para o espaço do usuário

 


Confira !!

Durante anos, a Intel vem trabalhando em patches do Linux para oferecer suporte à tecnologia de aplicação de fluxo de controle (CET) com o Indirect Branch Tracking e o suporte ao Shadow Stack . Está em andamento há anos e através de muitas revisões, enquanto agora eles estão buscando uma nova rota e focando apenas na funcionalidade do espaço do usuário do Shadow Stack.

A funcionalidade de pilha de sombra está focada na defesa contra ataques de programação orientada a retorno (ROP). O Shadow Stack mantém uma cópia de cada CHAMADA e em um retorno (RET) verificará o endereço de retorno armazenado na pilha normal para verificar se corresponde ao conteúdo do Shadow Stack, caso contrário, gerará uma falha.

A Intel apoiou o CET voltando aos sistemas Tiger Lake com Indirect Branch Tracking como parte disso para combater ataques JOP/COP também. Embora tenha havido patches do IBT Linux trabalhados, a Intel está se concentrando apenas no suporte ao espaço do usuário do Shadow Stack para ser atualizado para o kernel Linux principal. Esse é o plano, pelo menos para o curto prazo, com os patches IBT agora em segundo plano.


Rick Edgecombe da Intel observou em uma nova série de patches no domingo:

Esta é uma pequena reinicialização da série CET do espaço do usuário. Vou assumir a série de Yu-cheng. De acordo com algumas recomendações internas, redefini o número da versão e estou chamando de nova série. Espero que não cause confusão.

O novo plano é fazer o upstream apenas do suporte ao Shadow Stack do espaço do usuário neste momento. IBT pode seguir mais tarde, mas por enquanto vou me concentrar apenas na parte mais procurada e amplamente disponível (com o recurso em CPUs AMD agora) da CET.


Então agora estamos no conjunto de 35 patches propostos para shadow-stacks para o espaço do usuário. Isso não está apenas focado em aprimorar a segurança com processadores x86_64 modernos, mas o Google também está analisando o uso de pilhas de sombra para melhorar o rastreamento com melhor desempenho e confiabilidade.

Com a nova série de patches, há uma nova chamada de sistema para alocação de pilha de sombra, alterações para garantir que os binários mais antigos não sejam interrompidos e muito mais. Embora os mais recentes processadores da série AMD Ryzen 5000 também possam suportar pilhas de sombra, os patches atuais são especificamente limitados às CPUs Intel. O plano é permitir o suporte da CPU da AMD para pilhas de sombra do espaço do usuário assim que alguém (s) testá-lo - esperamos que isso aconteça antes da fusão dos patches.

Veremos se esta nova série Shadow Stacks for User-Space é apanhada mais rapidamente do que a série anterior de patches CET paralisada.





Fonte

Até a próxima !!





Nenhum comentário:

Postar um comentário