Confira !!
No mês passado, a Intel publicou um novo conjunto de patches do Linux para o suporte ao shadow stack como parte da Control-flow Enforcement Technology (CET) encontrada em seus processadores mais recentes. Também faz parte do CET da Intel o Indirect Branch Tracking (IBT), enquanto a Intel disse que primeiro se concentraria na pilha de sombra (SS) e se preocuparia com o IBT mais tarde. Menos de um mês depois, novos patches de rastreamento de ramificação indireta para o kernel do Linux estão tomando forma.
A parte SS do CET está focada na proteção contra ataques de programação orientada a retorno (ROP). O Rastreamento Indireto de Ramificação, por sua vez, fornece proteções de hardware contra ataques de programação orientada a salto/chamada (JOP/COP). Embora os patches do IBT Linux tenham sido publicados antes, eles ainda não foram implementados e, aparentemente, não têm tanto foco quanto os recursos do SS. De qualquer forma, Peter Zijlstra recentemente começou a trabalhar na integração IBT para o kernel Linux e tem feito um grande progresso.
Na sexta-feira, 29 patches foram enviados pela Zijlstra para o mais recente suporte ao kernel IBT. Lá ele compartilhou o estado promissor desse suporte IBT:
Esta é uma implementação (quase!) completa do Kernel IBT. Está em auto-hospedagem há alguns dias. Ou seja, ele roda em hardware habilitado para IBT (Tigerlake) e é capaz de construir o próximo kernel.
Também é quase limpo em allmodconfig usando GCC-11.2.
O maior item TODO neste momento é Clang, eu ainda não olhei para isso.
Mais detalhes sobre o CET podem ser encontrados em Intel.com . O suporte de hardware CET estreou inicialmente com processadores Intel Tiger Lake.
Até a próxima !!
Nenhum comentário:
Postar um comentário