Indireto O rastreamento de ramificação (IBT) ainda está sendo avaliado para habilitar como parte das configurações padrão do kernel Linux x86_64 para fornecer melhor segurança pronta para uso em processadores suportados. Um patch enviado hoje continua a discussão upstream sobre a ativação desse recurso por padrão que faz parte da tecnologia de aplicação de fluxo de controle (CET) da Intel para ajudar na defesa contra ataques de programação orientados por salto/chamada.
O rastreamento indireto de ramificação faz parte do CET encontrado com CPUs Intel Tigerlake e mais recentes. O suporte do kernel Linux para IBT foi mesclado no Linux 5.18, mas até agora não foi habilitado por padrão como parte da configuração do kernel padrão.
Kees Cook com o Google enviou sua última proposta argumentando para que ele seja ativado por padrão como parte da configuração do kernel do Linux. No início de setembro, ele propôs originalmente essa mudança, enquanto enviado hoje foi o v2 patch a> para reacender a discussão. Lá ele resume a situação:
A defesa IBT do kernel mitiga fortemente o”primeiro passo”comum dos ataques ROP, eliminando pivôs de pilha arbitrários (que aparecem no final de uma função ou em valores imediatos) , que não pode ser alcançado se as chamadas indiretas devem ser para endereços de entrada de função marcados. O IBT também precisa ser ativado para obter o recurso FineIBT quando construído com Integridade de fluxo de controle do kernel.
Além disso, dado que esse recurso é ativado em tempo de execução por meio do ID da CPU, ele claramente deve ser incorporado por padrão; ele só será habilitado se a CPU suportar. A compilação demora 2 segundos a mais, o que parece um preço pequeno a pagar para obter essa cobertura por padrão.
Se tudo correr bem, é possível que possamos ver isso ativado por padrão com a v6.2 Enquanto isso, muitos fornecedores de distribuição Linux já estão habilitando o X86_KERNEL_IBT como parte de suas compilações de kernel fornecidas.