在设备上运行的恶意软件可以利用其他应用中的漏洞劫持其控制流,并插入其恶意代码在另一个应用的上下文中运行。在英特尔未来的Tiger Lake移动CPU上,CET将通过两种新的安全机制来保护控制流,即影子堆栈、间接分支跟踪。影子堆栈指的是将一个应用的预定控制流复制出来,将影子堆栈存储在CPU的一个安全区域,并利用它来确保应用的预定执行顺序不会发生未经授权的改变。
英特尔表示,CET影子堆栈将保护用户免遭一种被称为 "面向返回编程"(ROP)的技术伤害,这种技术即恶意软件滥用RET(返回)指令,将其恶意代码附加到合法应用的控制流中。另一方面,间接分支跟踪指的是限制和增加额外的保护,使应用程序能够使用CPU "跳转表",这是一个包含跨应用程序控制流(重新)使用的内存位置表。
英特尔表示,间接分支跟踪可以防止两种被称为面向跳转编程(JOP)和面向调用编程(COP)的技术,即恶意软件滥用JMP(跳转)或CALL指令来劫持合法应用程序的跳转表。由于英特尔早在2016年就发布了CET规范,软件制造商有时间为第一批支持CET的英特尔CPU系列调整代码。
CET支持已经进入了Glibc,微软也为Windows Insiders增加了CET支持,作为一项名为Hardware-enforced Stack Protection的功能。现在所需要的就是英特尔出货支持CET指令的CPU,这样应用程序和操作系统就可以激活支持并选择加入CET提供的保护。英特尔公司客户端计算集团副总裁、安全战略与计划(SSI)总经理Tom Garrison今天表示,CET今天针对英特尔Tiger Lake微架构的移动CPU系列推出,但该技术也将用于台式机和服务器平台。
免责声明:本文由作者原创。文章内容系作者个人观点,转载目的在于传递更多信息,并不代表EETOP赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请及时联系我们,我们将在第一时间删除!
