- 22,253
- 46
- 8 Ноя 2022
В ядре Linux 6.10 появился новый системный вызов mseal, который позволяет «запечатывать» участки памяти и защищать их от изменений. Он нужен для того, чтобы нельзя было внезапно переписать или изменить важные структуры данных, даже если злоумышленник получил возможность влиять на процесс. Теперь до этой функциональности добрался и Glibc: в стандартной библиотеке Си появилась функция mseal, использующая возможности современного ядра.
В Glibc реализация mseal пока доступна для Linux на архитектурах x86_64 и AArch64. С её помощью разработчики могут «застывать» отображения памяти так, чтобы в ходе работы процесса их параметры больше не менялись. После вызова mseal нельзя изменить права доступа к участку, переместить его в другое место, освободить или уменьшить его размер. Это снижает класс целых категорий атак, которые опираются на подмену или перезапись критичных областей памяти.
Поддержка mseal уже влита в исходный код и войдёт в релиз Glibc 2.43, который ожидается в начале февраля. Поскольку Glibc используется большинством Linux-дистрибутивов и приложений, новая функция довольно быстро станет доступна разработчикам, которые хотят усилить защиту своих программ на уровне управления памятью.
- Источник новости
- www.securitylab.ru
