সক্ষম করে আরও ভালো নিরাপত্তার দিকে নজর দেয় ব্রাঞ্চ ট্র্যাকিং (IBT) এখনও ডিফল্ট Linux x86_64 কার্নেল কনফিগারেশনের অংশ হিসাবে সক্রিয় করার জন্য নজরদারি করা হচ্ছে যাতে সমর্থিত প্রসেসরগুলিতে আরও ভাল নিরাপত্তা প্রদান করা যায়। আজ প্রেরিত একটি প্যাচ ডিফল্টরূপে এই বৈশিষ্ট্যটি ফ্লিপ করার বিষয়ে আপস্ট্রিম আলোচনা চালিয়ে যাচ্ছে যা জাম্প/কল ওরিয়েন্টেড প্রোগ্রামিং আক্রমণ থেকে রক্ষা করতে সহায়তা করার জন্য ইন্টেলের কন্ট্রোল-ফ্লো এনফোর্সমেন্ট টেকনোলজি (সিইটি) এর অংশ।
পরোক্ষ শাখা ট্র্যাকিং হল CET-এর অংশ যা Intel Tigerlake CPU এবং আরও নতুনের সাথে পাওয়া যায়। IBT-এর জন্য Linux কার্নেল সমর্থন Linux 5.18-এ মার্জ করা হয়েছিল কিন্তু এই মুহুর্তে স্টক কার্নেল কনফিগারেশনের অংশ হিসাবে ডিফল্টরূপে সক্রিয় করা হয়নি।
লিনাক্স কার্নেল কনফিগারেশনের অংশ হিসেবে ডিফল্টরূপে সক্ষম হওয়া দেখার জন্য Google-এর সাথে Kees Cook তার সর্বশেষ প্রস্তাব পাঠিয়েছে। সেপ্টেম্বরের শুরুতে তিনি মূলত এই পরিবর্তনের প্রস্তাব করেছিলেন যখন আজ পাঠানো হয়েছিল v2 প্যাচ a> আলোচনাকে পুনরুজ্জীবিত করতে। সেখানে তিনি পরিস্থিতির সারসংক্ষেপ করেন:
কারনেল আইবিটি ডিফেন্স দৃঢ়ভাবে ROP আক্রমণের সাধারণ”প্রথম ধাপ”কে প্রশমিত করে, নির্বিচারে স্ট্যাক পিভটগুলি (যেটি একটি ফাংশনের শেষে বা তাত্ক্ষণিক মানগুলিতে প্রদর্শিত হয়) নির্মূল করে। , যেখানে পৌঁছানো যাবে না যদি পরোক্ষ কলগুলি অবশ্যই চিহ্নিত ফাংশন এন্ট্রি ঠিকানাগুলিতে হতে হবে৷ কার্নেল কন্ট্রোল ফ্লো ইন্টিগ্রিটির সাথে তৈরি করা হলে FineIBT বৈশিষ্ট্য অর্জনের জন্য IBT সক্রিয় করা প্রয়োজন।
অতিরিক্ত, এই বৈশিষ্ট্যটি সিপিইউ আইডির মাধ্যমে রানটাইম সক্ষম করা হয়েছে, এটি পরিষ্কারভাবে ডিফল্টরূপে তৈরি করা উচিত; এটি শুধুমাত্র সক্রিয় করা হবে যদি CPU এটি সমর্থন করে। বিল্ডটি 2 সেকেন্ড বেশি সময় নেয়, যা ডিফল্টরূপে এই কভারেজটি পাওয়ার জন্য একটি ছোট মূল্য দিতে বলে মনে হয়৷
যদি সবকিছু ঠিকঠাক হয় তবে আমরা এটিকে ডিফল্টরূপে v6.2 এর সাথে সক্ষম দেখতে পাব কার্নেল চক্র ইতিমধ্যে অনেক লিনাক্স ডিস্ট্রিবিউশন বিক্রেতারা ইতিমধ্যেই তাদের প্রদত্ত কার্নেল বিল্ডের অংশ হিসাবে X86_KERNEL_IBT সক্রিয় করছে।
