Intel ang mga mananaliksik sa seguridad ay nagtatrabaho sa pagpapatupad ng toolchain-optimized fine-grained na Support Flow Integrity (CFI) na suporta sa tuktok ng Intel-based Control-flow Enforcement Technology (CET) na batay sa hardware. Sa pamamagitan ng paggamit ng Intel CET, ang Control-Flow Integrity overhead ay mas mababa kaysa sa kung hindi man puro software/based-based na diskarte na batay. Ang pagpapabuti sa seguridad ng Linux na ito ay ginagawa sa ilalim ng pangalan ng FineIBT.
Bumalik sa Pebrero ay ang unang mga talakayan sa seguridad ng mga mananaliksik ng Intel at mga inhinyero tungkol sa pagbibigay ng mahusay na butil na CFI sa tuktok ng CET ng Intel-samantala ang Ang mga patch ng CET mismo ay matagal nang darating para sa Linux kernel . Ang suporta sa CET hardware ay debut sa Tiger Lake para sa pagtulong na mailayo ang posibleng pag-atake ng istilong ROP at COP/JOP. CFI suporta para sa kernel samantala sumali ng paunang upstream na suporta sa Linux 5.13 kapag ginagamit ang Clang . Ang CFI ay nagdaragdag ng mga tseke ng run-time ng tagatala para sa bawat hindi direktang pag-andar upang matiyak na ang target ay isang wastong pagpapaandar na may wastong static na uri. Ang pagsasama ng Intel ng mga teknolohiyang ito ay tinukoy bilang FineIBT at pinapayagan ang mas mahigpit na mga patakaran kaysa sa maibigay ng CET lamang at sinabing mas epektibo laban sa mga pag-atake sa control-flow.
Habang sinabi ng mga tagataguyod ng CFI na ang paggamit ng tampok na seguridad na nakabatay sa compiler ay nagdaragdag lamang ng ~ 1% overhead, binubuo ng mga mananaliksik ng Intel ang Clang CFI bilang pagkakaroon ng 5 ~ 53% overhead. Samantala sinabi ng Intel na ang kanilang solusyon sa FineIBT ay may lamang 1 ~ 7% overhead. Ang mga numerong iyon ay batay sa ilang pasadyang mga micro-benchmark na kanilang isinulat para sa paghahambing sa dalawang solusyon na ito. Habang hindi pa namin masyadong naririnig ang tungkol sa FineIBT mula noong orihinal na panukala noong Pebrero at kanilang binagong LLVM/Clang code ay hindi na-update mula noong Marso, lumalabas na ang Intel ay nagpapatuloy pa rin sa teknolohiyang ito. Ang Linux Security Summit na nangyayari sa susunod na buwan ay mayroon nang sa iskedyul nito isang pagtatanghal sa ibabaw nito.
Kaya’t sa pagtatapos ng Setyembre dapat na naririnig natin ang tungkol sa pinakabagong pagsisikap ng Intel sa paligid ng FineIBT para sa Linux kernel at anumang mga bagong pagpapaunlad o plano para maalis ang suporta.
