Linuxeden开源社区Intel Linux 工程师 Peter Zijlstra 更新了他的补丁集,实施了 FineIBT-BHI 缓解措施,以加强之前引入的 FineIBT 内核保护。此 FineIBT-BHI 代码依赖于 LLVM Clang 编译器的新合并代码,作为编译器防御的一部分。
继两年前合并 FineIBT 代码以结合控制流执行技术 (CET) 和控制流完整性 (CFI) 的优点作为 Linux 内核的替代 CFI 实现之后,FineIBT-BHI 一直在烘焙。FineIBT-BHI 用于解决需要分支历史注入 (BHI) 缓解的 FineIBT 弱点。
FineIBT-BHI 补丁于去年 9 月发布,而补丁则作为 LLVM 的更新代码合并于本周重新基于和发送。LLVM 现在使用 3 位 arity 指示器扩展其 KCFI(内核控制流完整性)代码。详情请点击这里。GCC 仍然缺乏 KCFI 支持,但随着 LLVM 代码路径的更新,它解除了 Peter Zijlstra 继续上游 FineIBT-BHI 工作的障碍。
通过这个新的补丁系列,他让 FineIBT-BHI 成功地使用修补的内核,并在 Intel Alder Lake 系统上使用最新的 LLVM 代码构建。这个新模式可以通过 “cfi=fineibt+bhi” 选项来激活。
补丁系列仍在等待文档来介绍缓解措施的工作原理,并希望获得有关性能影响的一些基准数字。\
转自 Linux FineIBT-BHI Updated For Toughening Up FineIBT Kernel Defenses – Phoronix