Incorporato nella linea principale Il kernel Linux 5.19 della scorsa settimana è stato l’ultimo batch di lavoro di rafforzamento del kernel, che include l’introduzione del supporto Clang RandStruct e altre modifiche per rafforzare le difese del kernel.
La funzione RandStruct è una nuova funzionalità in arrivo in LLVM/Clang 15.0 ed è quella di randomizzare il layout della struttura. Il kernel Linux ha già avuto il supporto RandStruct sul lato GCC per randomizzare il layout delle strutture del kernel sensibili mentre ora per Linux 5.19 c’è questo nuovo supporto Clang 15.
L’uso della protezione avanzata RandStruct del kernel Linux può indurre un certo impatto sulle prestazioni, ma esiste anche un tempo di compilazione sintonizzabile per cercare di limitare la randomizzazione del layout della struttura per memorizzare nella cache gruppi di membri di dimensioni lineari per ridurre tali prestazioni costo anche se con randomizzazione ridotta.
Gli aggiornamenti di protezione avanzata includono anche la protezione avanzata della copia utente ora verifica la presenza di altre allocazioni tipi, miglioramenti comportamentali ARM64 StackLeak, miglioramenti della generazione del codice ARM64 Control-Flow Integrity (CFI) e modifiche LoadPin LSM.
