Epäsuora Branch Tracking (IBT) on edelleen silmällä, jotta se mahdollistaisi Linuxin x86_64-oletusytimen kokoonpanojen paremman käyttövalmiuden turvallisuuden tuetuissa prosessoreissa. Tänään lähetetty korjaustiedosto jatkaa keskustelua tämän ominaisuuden kääntämisestä oletusarvoisesti. Ominaisuus on osa Intelin Control-flow Enforcement Technology (CET)-tekniikkaa, joka auttaa puolustautumaan hyppy-/puhelusuuntautuneilta ohjelmointihyökkäyksiä vastaan.
Epäsuora Branch Tracking on osa CET:tä, joka löytyy Intel Tigerlake-suorittimista ja uudemmista. Linux-ytimen tuki IBT:lle yhdistettiin Linux 5.18:aan, mutta tähän asti sitä ei ole oletuksena otettu käyttöön osana varastoytimen kokoonpanoa.
Kees Cook Googlen kanssa on lähettänyt viimeisimmän ehdotuksensa väittäen sen olevan oletusarvoisesti käytössä osana Linux-ytimen määritystä. Syyskuun alussa hän ehdotti alun perin tätä muutosta, mutta tänään lähetettiin v2-korjaus a> herättää keskustelun uudelleen. Siinä hän tiivistää tilanteen:
Ytimen IBT-puolustus lieventää voimakkaasti ROP-hyökkäysten yleistä”ensimmäistä askelta”eliminoimalla mielivaltaiset pinon pivotit (jotka näkyvät joko funktion lopussa tai välittömissä arvoissa) , johon ei saada yhteyttä, jos epäsuorat kutsut on tehtävä merkittyihin toimintosyöttöosoitteisiin. IBT on myös otettava käyttöön FineIBT-ominaisuuden saamiseksi, kun se on rakennettu Kernel Control Flow Integrity-toiminnolla.
Lisäksi, koska tämä ominaisuus on ajonaikainen käytössä CPU ID:n kautta, sen pitäisi selvästikin olla sisäänrakennettu oletuksena. se otetaan käyttöön vain, jos CPU tukee sitä. Rakentaminen kestää 2 sekuntia pidempään, mikä vaikuttaa pieneltä hinnalta tämän kattavuuden saamisesta oletuksena.
Jos kaikki menee hyvin, on mahdollista, että tämä on oletusarvoisesti käytössä v6.2:ssa ytimen sykli sillä välin monet Linux-jakelun toimittajat ottavat jo käyttöön X86_KERNEL_IBT:n osana toimittamiaan ytimen koontiversioita.
