کے ذریعے کرنل IBT کو فعال کرنے کے ساتھ آگے بڑھ رہا ہے-آف-دی-باکس لینکس کرنل اپنی ڈیفالٹ x86_64 کنفیگریشن میں، اس پر نظر رکھی جا رہی تھی کہ بالواسطہ برانچ ٹریکنگ کو بطور ڈیفالٹ فعال کیا جائے۔ IBT کو بطور ڈیفالٹ فعال کرنے کے لیے اس تبدیلی کو TIP کی x86/core برانچ نے اٹھایا ہے، اس طرح اسے اگلے مہینے کی Linux 6.2 مرج ونڈو کے ساتھ جمع کرانے کے لیے مواد کے طور پر ڈیک پر رکھا گیا ہے۔

بالواسطہ برانچ ٹریکنگ Tigerlake CPUs اور جدید تر کے ساتھ Intel Control-flow Enforcement Technology (CET) کا حصہ ہے۔ IBT بالواسطہ کالز کو یقینی بنا کر JOP/COP حملوں کے خلاف دفاع کے لیے بالواسطہ برانچ تحفظ فراہم کرتا ہے۔

Linux کرنل نے Intel انجینئرز اور دوسروں کی طرف سے بالواسطہ برانچ ٹریکنگ سپورٹ کے ساتھ ساتھ حال ہی میں FineIBT کی پیروی کرتے ہوئے بہت زیادہ کام دیکھا ہے، جسے لینکس 6.2 کے لیے بھی ضم کیا جا سکتا ہے۔ FineIBT اپروچ کا مقصد انٹیل کے بہترین CET کو ایک متبادل کنٹرول فلو انٹیگریٹی (CFI) اسکیم کے ساتھ جوڑنا ہے۔

آج صبح اسٹاک x86/x86_64 Kconfig کرنل کنفیگریشن کے حصے کے طور پر IBT پر فلپ کرنا ضم کر دیا گیا TIP کے x86/core میں، لہذا Linus Torvalds کے کسی بھی آخری لمحے کے اعتراضات یا دیگر تحفظات کو چھوڑ کر، اسے Linux2 میں دیکھنے کے لیے سیٹ کیا جانا چاہیے۔

کچھ لینکس ڈسٹری بیوشن وینڈر کرنل پہلے سے ہی X86_KERNEL_IBT آپشن فعال کے ساتھ بھیجتے ہیں۔ کنٹرول فلو انفورسمنٹ ٹکنالوجی کے حصے کے طور پر CPUs پر IBT کے لیے ہارڈ ویئر کی اہلیت نہ رکھنے والوں کے لیے، آپ کو رویے میں کوئی تبدیلی نظر نہیں آئے گی، لیکن نئے CPUs والوں کے لیے یہ ان ہارڈ ویئر سیکیورٹی کی ایک اور پرت کے طور پر ایک اچھا ڈیفالٹ ہے۔ تحفظ

Categories: IT Info