Desde o Linux 5.18, existe o Indirect Branch Tracking (IBT) no kernel da linha principal que foi contribuído pela Intel como parte de sua Tecnologia de Aplicação de Fluxo de Controle (CET). Para o Linux 6.4, os engenheiros da Intel tentaram obter o suporte Shadow Stack como a outra parte do CET, mas os problemas foram descobertos no último minuto. Esperançosamente, o suporte Shadow Stack será mesclado para o ciclo v6.5, mas além desse suporte de host, os engenheiros da Intel também têm trabalhado na virtualização CET para habilitar esses recursos de segurança para uso em máquinas virtuais.
Hoje marca a terceira iteração dos patches da Intel para virtualização CET para alavancar esses recursos de hardware da CPU-encontrados desde os processadores Intel Tiger Lake-para ajudar a evitar ataques de subversão de fluxo de controle no estilo ROP/JOP nas VMs.
Os patches atuais fazem com que a Tecnologia de Aplicação de Fluxo de Controle funcione para o usuário Shadow Stack e Indirect Branch Tracking, bem como o suporte de kernel Indirect Branch Tracking. O suporte Shadow Stack do supervisor Intel CET é deixado para ser trabalhado no futuro.
Além de precisar deste código pendente, bem como do código Shadow Stack ainda não integrado a partir da versão 6.4, também existem alguns patches QEMU pendentes necessários para esta virtualização CET. Os interessados nos patches de kernel mais recentes para esse esforço podem ser encontrados em este patch LKML série. Os patches v3 foram rebaseados em linux-next e contêm várias correções sobre as iterações de patch anteriores.
