Экспериментальная поддержка пересборки ядра Linux в Clang с механизмом защиты CFI

Кес Кук (Kees Cook), бывший главный сисадмин kernel.org и лидер Ubuntu Security Team, ныне работающий в компании Google над обеспечением защиты Android и ChromeOS, подготовил экспериментальный репозиторий с патчами, позволяющими собрать ядро для архитектуры x86_64 с использованием компилятора Clang и активацией механизма защиты CFI (Control Flow Integrity). CFI обеспечивает выявление некоторых форм неопределённого поведения, которые потенциально могут привести к нарушению нормального потока управления (control flow) в результате выполнения эксплоитов.

Напомним, что в LLVM 9 были включены изменения, необходимые для сборки ядра Linux с использованием Clang для систем с архитектурой x86_64. Проекты Android и ChromeOS уже применяют Clang для сборки ядра и Google тестирует Clang в качестве основной платформы для сборки ядер для своих рабочих Linux-систем. Варианты ядра, собираемые при помощи Clang, также развивают проекты Linaro и CrOS.

Источник: opennet.ru

Добавить комментарий