Kees Cook, tilas administrator sistem kernel.org sareng pamimpin Tim Kaamanan Ubuntu, ayeuna damel di Google dina ngamankeun Android sareng ChromeOS, nyebarkeun sakumpulan patch pikeun ngacak offset dina tumpukan kernel nalika ngolah telepon sistem. Patch ningkatkeun kaamanan kernel ku cara ngarobah panempatan tumpukan, ngajantenkeun serangan dina tumpukan langkung hese sareng kirang suksés. Palaksanaan awal ngadukung prosesor ARM64 sareng x86 / x86_64.
Gagasan aslina pikeun patch milik proyék PaX RANKKSTACK. Dina 2019, Elena Reshetova, insinyur ti Intel, nyobian ngadamel palaksanaan ideu ieu cocog pikeun dilebetkeun kana kernel Linux utama. Salajengna, inisiatif ieu dicandak ku Kees Cook, anu masihan palaksanaan anu cocog pikeun versi utama kernel. Patch rencanana bakal dilebetkeun salaku bagian tina sékrési 5.13. Modeu bakal ditumpurkeun sacara standar. Pikeun ngaktifkeunana, parameter garis paréntah kernel "randomize_kstack_offset = on / off" sareng konfigurasi CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT diusulkeun. Overhead pikeun ngaktipkeun mode diperkirakeun kirang langkung 1% leungitna kinerja.
Hakekat panyalindungan diusulkeun nyaéta milih hiji offset tumpukan acak pikeun tiap panggero sistem, nu ngajadikeun hésé pikeun nangtukeun tata perenah tumpukan dina mémori, malah sanggeus narima data alamat, saprak sistem panggero hareup bakal ngarobah alamat dasar tumpukan. Beda sareng palaksanaan PaX RANDKSTACK, dina patches anu diusulkeun pikeun dilebetkeun kana kernel, randomization henteu dilaksanakeun dina tahap awal (cpu_current_top_of_stack), tapi saatos netepkeun struktur pt_regs, anu matak teu mungkin ngagunakeun metode dumasar ptrace pikeun nangtukeun offset acak. salila panggero sistem lila-ngajalankeun.
sumber: opennet.ru