Confira !!
O Indirect Branch Tracking (IBT) como parte da Control-flow Enforcement Technology (CET) da Intel está definido para ser suportado como parte do próximo kernel Linux 5.18. Ontem à noite, a série de patches do IBT entrou na fila x86/core do TIP antes da janela de mesclagem do Kernel Linux 5.18.
O Indirect Branch Tracking é uma proteção CFI (Control Flow Integrity) baseada em hardware. Quando habilitado para a compilação do kernel, garante que as chamadas indiretas cheguem a uma instrução ENDBR. Além de todos os patches do kernel Linux para tornar o IBT uma realidade, há suporte do lado do compilador necessário, o que significa GCC 9 e mais recente ou LLVM Clang 14 e mais recente.
O IBT é para proteção contra ataques de programação orientados por salto/chamada. Indirect Branch Tracking faz parte do Intel CET que é encontrado desde o Tiger Lake. A outra parte do CET é o Intel Shadow Stack que também vê o Linux funcionar .
Enquanto a Intel recentemente estava se concentrando mais nos patches Shadow Stack (SS) e mudou o IBT para o segundo plano, o conhecido desenvolvedor do kernel Peter Zijlstra começou recentemente a trabalhar no suporte do IBT para o Linux . Ele tem enviado muitas revisões para os patches e agora parece que está tudo certo para o Linux 5.18.
Depois de enviar a última rodada ontem, o último marco é na noite passada que todos os patches do kernel IBT foram enfileirados no Git x86/core do TIP , colocando-o no prato do Linux 5.18. Esse recurso de segurança pode ser ativado com a opção X86_KERNEL_IBT ao compilar o kernel Linux com GCC 9+ ou Clang 14+.
Até a próxima!!
Nenhum comentário:
Postar um comentário