Salah satu dari banyak permintaan penarikan awal yang dikirim untuk Linux 6.7 adalah perubahan x86/boot yang ditandai dengan pengerjaan ulang pembuatan header PE untuk menghasilkan tampilan image kernel yang modern dan selaras dengan 4K yang pada akhirnya bertujuan untuk keamanan sistem yang lebih baik.
Ard Biesheuvel memimpin upaya pengerjaan ulang pembuatan header PE ini. Dia menjelaskan di seri patch bulan lalu:
“Sekarang aliran boot rintisan EFI tidak lagi bergantung pada memori yang dapat dieksekusi dan ditulis pada saat yang sama, kita dapat mengatur ulang tampilan PE/COFF dari gambar kernel dan mengekspos kode biner dekompresor dan data r/o sebagai .text bagian dan data/bss sebagai bagian .data, menggunakan penyelarasan 4k dan izin terbatas.
Hal ini diperlukan demi kompatibilitas dengan langkah-langkah pengerasan yang diluncurkan pada PC x86 yang dibuat untuk menjalankan Windows (yaitu, sebagian besar PC tersebut). Lingkungan boot EFI yang dijalankan oleh rintisan Linux EFI sangat sensitif terhadap masalah keamanan, mengingat kerentanan pada loader satu OS dapat disalahgunakan untuk menyerang OS lain.
Dalam gaya x86 yang sebenarnya, ini jauh lebih rumit dibandingkan arsitektur lain, yang telah menerapkan pemisahan kode/data ini dengan penyelarasan 4k sejak awal. Faktor rumitnya di sini adalah image booting terdiri dari dua bagian berbeda, yang digabungkan dan diperbaiki menggunakan alat build khusus.
Setelah rangkaian ini diterapkan, satu-satunya tugas tersisa yang dilakukan oleh alat build adalah menghasilkan CRC-32. Meskipun checksum ini biasanya salah (mengingat kernel distro ditandatangani untuk boot aman dengan cara yang merusak CRC), fitur ini tetap dipertahankan karena kami tidak dapat memastikan bahwa tidak ada yang mengandalkan ini.
Ini menggantikan pekerjaan yang diusulkan oleh Evgeniy tahun lalu, yang melakukan penulisan ulang besar-besaran pada alat build untuk membersihkannya, sebelum memperbaruinya untuk menghasilkan tata letak gambar selaras 4k yang baru. Seperti yang dibuktikan dalam seri ini, sebagian besar alat pembangunan tidak diperlukan, dan kami sudah memiliki terlalu banyak alat tersebut.” Pekerjaan ini adalah sorotan utama dari perubahan x86/boot yang dikirimkan untuk jendela penggabungan Linux 6.7.
Itulah berita seputar Linux 6.7 Mengolah Ulang Pembuatan Header PE Untuk Mengurangi Area Serangan, semoga bermanfaat. Disadur dari Phoronix.com.