Непрямое отслеживание ветвей (IBT) по-прежнему рассматривается как часть конфигураций ядра Linux x86_64 по умолчанию, чтобы обеспечить лучшую стандартную безопасность на поддерживаемых процессорах. Патч, разосланный сегодня, продолжает ведущуюся дискуссию по поводу включения этой функции по умолчанию, которая является частью технологии Intel Control-flow Enforcement Technology (CET) и помогает защищаться от программных атак, ориентированных на переход/вызов.

Косвенное отслеживание переходов является частью CET, используемой в процессорах Intel Tigerlake и более новых. Поддержка ядра Linux для IBT была объединена в Linux 5.18, но до сих пор не была включена по умолчанию как часть стандартной конфигурации ядра.

Киз Кук из Google разослал свое последнее предложение, утверждая, что оно включено по умолчанию как часть конфигурации ядра Linux. Еще в начале сентября он первоначально предложил это изменение, а сегодня был отправлен патч v2, чтобы возобновить дискуссию. Там он резюмирует ситуацию:

Защита IBT ядра сильно смягчает распространенный «первый шаг» ROP-атак, устраняя произвольные повороты стека (которые появляются либо в конце функции, либо в непосредственных значениях), которые не могут быть достигнуты, если косвенные вызовы должны быть к помеченной записи функции. адреса. IBT также необходимо включить, чтобы получить функцию FineIBT при сборке с целостностью потока управления ядром.

Кроме того, учитывая, что эта функция включается во время выполнения через идентификатор ЦП, она явно должна быть встроена по умолчанию; он будет включен только в том случае, если ЦП поддерживает его. Сборка занимает на 2 секунды больше времени, что кажется небольшой платой за такое покрытие по умолчанию.

Если все пойдет хорошо, возможно, мы увидим, что это включено по умолчанию с циклом ядра v6.2, в то время как многие поставщики дистрибутивов Linux уже включают X86_KERNEL_IBT как часть своих сборок ядра.