デフォルトの x86_64 構成のすぐに使える Linux カーネルでは、デフォルトで間接ブランチ トラッキングを有効にすることが注目されていました。デフォルトで IBT を有効にするこの変更は、TIP の x86/core ブランチによって取り上げられたため、来月の Linux 6.2 マージ ウィンドウで提出するための資料としてデッキに追加されました。
Indirect Branch Tracking は、Tigerlake CPU 以降の Intel Control-Flow Enforcement Technology (CET) の一部です。 IBT は、間接呼び出しが ENDBR 命令に確実に到達するようにすることで、JOP/COP 攻撃を防御する間接分岐保護を提供します。
Linux カーネルは、Intel のエンジニアやその他の人々による間接分岐追跡のサポートや、最近 Linux 6.2 にもマージされる可能性がある FineIBT の追求に多くの取り組みを行ってきました。 FineIBT のアプローチは、Intel の CET の長所と代替の Control Flow Integrity (CFI) スキームを組み合わせることを目的としています。
今朝、在庫の x86/x86_64 Kconfig カーネル構成の一部としてデフォルトで IBT を切り替えたのは merged であるため、Linus Torvalds による土壇場での異議やその他の考慮事項がなければ、Linux 6.2 で表示されるように設定する必要があります。
一部の Linux ディストリビューション ベンダー カーネルは、X86_KERNEL_IBT オプションを有効にして出荷されています。 Control-flow Enforcement Technology の一部として IBT のハードウェア機能を備えていない CPU を使用している場合、動作の変化に気付くことはありませんが、新しい CPU を使用している場合、これはハードウェア内セキュリティの別の層として適切なデフォルトです。保護。
