В качестве усовершенствования стандартного ядра Linux в конфигурации x86_64 по умолчанию рассматривалось включение косвенного отслеживания ветвей по умолчанию. Это изменение, позволяющее включить IBT по умолчанию, было подхвачено ветвью TIP x86/core, что поместило его в список в качестве материала для представления в окне слияния Linux 6.2 в следующем месяце.

Косвенное отслеживание переходов является частью технологии Intel Control-Flow Enforcement Technology (CET) для процессоров Tigerlake и новее. IBT обеспечивает косвенную защиту ветвления для защиты от атак JOP/COP, гарантируя, что косвенные вызовы попадут в инструкцию ENDBR.

Над ядром Linux инженеры Intel и другие специалисты проделали большую работу в области поддержки косвенного отслеживания ветвей, а также в недавнем поиске FineIBT, который также может быть объединен для Linux 6.2. Подход FineIBT призван объединить лучшее из Intel CET с альтернативной схемой Control Flow Integrity (CFI).

Этим утром переключение на IBT по умолчанию, как часть стандартной конфигурации ядра x86/x86_64 Kconfig, было объединено с x86/core TIP, поэтому, за исключением каких-либо возражений в последнюю минуту или других соображений Линуса Торвальдса, его следует настроить для просмотра в Linux 6.2.

Некоторые ядра поставщиков дистрибутивов Linux уже поставляются с включенной опцией X86_KERNEL_IBT. Для процессоров, не имеющих аппаратных возможностей для IBT как части технологии управления потоком управления, вы не заметите никаких изменений в поведении, но для тех, кто использует более новые процессоры, это хороший вариант по умолчанию в качестве еще одного уровня защиты аппаратной безопасности.