Uma das muitas propostas iniciais encaminhadas para o Linux 6.7 refere-se às modificações x86/boot, lideradas por uma revisão na geração do cabeçalho PE.
O objetivo é criar uma visualização de imagem do kernel moderna e alinhada a 4K, buscando, em última instância, aprimorar a segurança do sistema.
Ard Biesheuvel foi o responsável por liderar esse esforço na reformulação do cabeçalho PE. Em sua explicação na série de patches do mês passado, ele afirmou:
"Agora que o fluxo de inicialização do stub EFI não depende mais da memória que é executável e gravável ao mesmo tempo, podemos reorganizar a visualização PE/COFF da imagem do kernel e expor o código do binário do descompressor e os dados r/o como um .text e data/bss como uma seção .data, usando alinhamento 4k e permissões limitadas.
Isso é necessário para compatibilidade com medidas de proteção que estão sendo implementadas em PCs x86 criados para executar o Windows (ou seja, a maioria deles). O ambiente de inicialização EFI no qual o stub EFI do Linux é executado é especialmente sensível a questões de segurança, visto que uma vulnerabilidade no carregador de um sistema operacional pode ser explorada para atacar outro.
No verdadeiro estilo x86, isso é muito mais complicado do que em outras arquiteturas, que implementamos essa divisão de código/dados com alinhamento de 4k desde o início. O fator complicador aqui é que a imagem de inicialização consiste em duas partes diferentes, que são costuradas e fixadas usando uma ferramenta de compilação especial. Após a aplicação desta série, a única tarefa restante executada pela ferramenta de construção é gerar o CRC-32. Mesmo que essa soma de verificação geralmente esteja errada (dado que os kernels da distribuição são assinados para inicialização segura de uma forma que corrompe o CRC), esse recurso é mantido, pois não podemos ter certeza de que ninguém está confiando nele.
Isso substitui o trabalho proposto por Evgeniy no ano passado, que fez uma grande reescrita da ferramenta de construção para limpá-la, antes de atualizá-la para gerar o novo layout de imagem alinhado a 4K. Como esta série prova, a ferramenta de construção é praticamente desnecessária, e já temos muitas delas."
Esse trabalho é o destaque principal das alterações no x86/boot enviadas para a janela de mesclagem do Kernel Linux 6.7.
Até a próxima !!
Nenhum comentário:
Postar um comentário