Confira !!
A Intel há algum tempo publica patches do kernel do Linux para implementar a tecnologia Control Flow Enforcement (CET), tanto para os recursos Indirect Branch Tracking quanto Shadow Stack. No entanto, como foi escrito no início desta semana, a Intel está se concentrando no suporte do Shadow Stack para o espaço do usuário . Os patches postados na semana passada pela Intel para Linux Shadow Stack para suporte ao User-Space estavam limitados aos seus próprios processadores, mas felizmente parece funcionar bem para CPUs AMD também.
A funcionalidade do Shadow Stack é sobre defesa contra ataques de programação orientada a retorno (ROP). O Shadow Stack mantém uma cópia de cada CHAMADA e em um retorno (RET) verificará o endereço de retorno armazenado na pilha normal para verificar se corresponde ao conteúdo do Shadow Stack, caso contrário, gerará uma falha.
Um gráfico Intel no Shadow Stack como parte do CET.
Com os 35 patches postados na semana passada, o código estava limitado a ser habilitado com CPUs Intel, já que é o que os engenheiros da Intel obviamente estão testando. Mas os processadores AMD Zen 3 também suportam a funcionalidade Shadow Stack e, conforme reconhecido nos patches da Intel, havia apenas a falta de poder testar esses patches lá
Felizmente, um engenheiro AMD Linux está testando os patches CET Shadow Stack e comentou que os patches parecem estar funcionando bem nos processadores AMD - inclusive ao testar uma versão CET corrigida da GNU C Library e passar em vários testes de referência.
Portanto, supondo que não haja problemas no futuro, o suporte ao CET Shadow Stack, uma vez finalmente integrado ao kernelLinux, deve funcionar para as CPUs Intel e AMD como uma melhoria de segurança.
Até apróxima !!
Nenhum comentário:
Postar um comentário