Digabungkan sebagai bagian dari Linux 5.18 adalah dukungan Intel’s Indirect Branch Tracking (IBT) sebagai bagian dari teknologi CET (Control Flow Enforcement). Pelacakan Cabang Tidak Langsung dimaksudkan untuk membantu melindungi dari serangan berorientasi JUMP/CALL sebagai bagian dari perlindungan integritas aliran kontrol CET. Sementara itu yang masih sedang dikerjakan adalah “FineIBT” sebagai versi yang lebih dikeraskan oleh kompiler yang dibangun di atas Intel CET/IBT. Kembali ke musim panas lalu ada tambalan di sekitar FineIBT sebagai integritas aliran kontrol (CFI) berbasis kompiler dengan IBT. Dikirim hari ini adalah seri patch permintaan-untuk-komentar baru dari FineIBT untuk kernel Linux. Seri patch Linux FineIBT baru dari Joao Moreira ini merangkum pekerjaan sebagai: Penafian: Ini semua dalam tahap yang sangat awal/poc dan sebagian besar merupakan pekerjaan penelitian — disarankan untuk melanjutkan dengan hati-hati dan membawa handuk. Seri patch ini mengaktifkan FineIBT di kernel. FineIBT adalah skema CFI terdepan yang disempurnakan oleh kompiler yang dibangun di atas CET-IBT Intel yang bekerja dengan menyetel hash di sisi pemanggil yang kemudian diperiksa di sisi penerima. Karena IBT memerlukan cabang tidak langsung untuk mendarat di instruksi ENDBR, pemeriksaan hash ini tidak boleh dilewati jika fungsi pointer rusak. Jika dibandingkan dengan IBT itu sendiri, FineIBT memberlakukan kebijakan yang lebih ketat yang seharusnya lebih kuat terhadap serangan pembajakan aliran kontrol. Jika dibandingkan dengan skema seperti KCFI, ia memiliki manfaat tidak bergantung pada pembacaan memori (yang tidak hanya mungkin lebih efisien dalam hal kinerja dan daya tetapi juga membuatnya kompatibel dengan XOM) dan membawa manfaat IBT terkait pengerasan eksekusi spekulatif Seri tambalan FineIBT ini dibangun dari pekerjaan Pelacakan Cabang Tidak Langsung yang di-upstream di Linux 5.18 dan tambalan tambahan sedang dikerjakan oleh Peter Zijlstra dari Intel. Untuk saat ini pekerjaan FineIBT ini juga bergantung pada versi modifikasi dari compiler Clang. FineIBT adalah upaya lain untuk meningkatkan keamanan sistem Linux, dipasangkan dengan perangkat keras x86_64 terbaru.
Pelajari lebih lanjut tentang pekerjaan FineIBT eksperimental ini melalui milis kernel.
Itulah berita seputar Seri Eksperimental “FineIBT” Diterbitkan Untuk Linux – Membangun Di Atas Intel CET/IBT, semoga bermanfaat. Disadur dari Phoronix.com.