Confira !!
Durante anos, a Intel vem trabalhando em patches do Linux para oferecer suporte à tecnologia de aplicação de fluxo de controle (CET) com o Indirect Branch Tracking e o suporte ao Shadow Stack . Está em andamento há anos e através de muitas revisões, enquanto agora eles estão buscando uma nova rota e focando apenas na funcionalidade do espaço do usuário do Shadow Stack.
A funcionalidade de pilha de sombra está focada na defesa contra ataques de programação orientada a retorno (ROP). O Shadow Stack mantém uma cópia de cada CHAMADA e em um retorno (RET) verificará o endereço de retorno armazenado na pilha normal para verificar se corresponde ao conteúdo do Shadow Stack, caso contrário, gerará uma falha.
A Intel apoiou o CET voltando aos sistemas Tiger Lake com Indirect Branch Tracking como parte disso para combater ataques JOP/COP também. Embora tenha havido patches do IBT Linux trabalhados, a Intel está se concentrando apenas no suporte ao espaço do usuário do Shadow Stack para ser atualizado para o kernel Linux principal. Esse é o plano, pelo menos para o curto prazo, com os patches IBT agora em segundo plano.
Rick Edgecombe da Intel observou em uma nova série de patches no domingo:
Esta é uma pequena reinicialização da série CET do espaço do usuário. Vou assumir a série de Yu-cheng. De acordo com algumas recomendações internas, redefini o número da versão e estou chamando de nova série. Espero que não cause confusão.
O novo plano é fazer o upstream apenas do suporte ao Shadow Stack do espaço do usuário neste momento. IBT pode seguir mais tarde, mas por enquanto vou me concentrar apenas na parte mais procurada e amplamente disponível (com o recurso em CPUs AMD agora) da CET.
Então agora estamos no conjunto de 35 patches propostos para shadow-stacks para o espaço do usuário. Isso não está apenas focado em aprimorar a segurança com processadores x86_64 modernos, mas o Google também está analisando o uso de pilhas de sombra para melhorar o rastreamento com melhor desempenho e confiabilidade.
Com a nova série de patches, há uma nova chamada de sistema para alocação de pilha de sombra, alterações para garantir que os binários mais antigos não sejam interrompidos e muito mais. Embora os mais recentes processadores da série AMD Ryzen 5000 também possam suportar pilhas de sombra, os patches atuais são especificamente limitados às CPUs Intel. O plano é permitir o suporte da CPU da AMD para pilhas de sombra do espaço do usuário assim que alguém (s) testá-lo - esperamos que isso aconteça antes da fusão dos patches.
Veremos se esta nova série Shadow Stacks for User-Space é apanhada mais rapidamente do que a série anterior de patches CET paralisada.
Até a próxima !!
Nenhum comentário:
Postar um comentário