- O Kernel Linux 7.0 ativa o Control Flow Integrity (CFI), bloqueando sequestros de fluxo e ataques ROP em nível de hardware no RISC-V.
- Programas no espaço de usuário ganham uma "Pilha de Sombras", impedindo que hackers desviem rotas de execução de memória nos chips.
- Desenvolvido por Deepak Gupta e integrado por Paul Walmsley, o patch traz as extensões padronizadas Zicfiss e Zicfilp para a arquitetura.
- O subsistema de gerenciamento de memória (MM) agora fabrica PTEs exclusivas para alocar as "landing pads" invisíveis ao espaço comum.
- A novidade já foi aprovada por Linus Torvalds e estará ativa de forma nativa no lançamento final e estável do Kernel Linux 7.0.
O mantenedor Paul Walmsley enviou a série principal de atualizações da arquitetura RISC-V para o Kernel Linux 7.0. A mudança impacta fortemente a segurança do sistema ao introduzir o suporte ao Control Flow Integrity (CFI) no espaço de usuário, utilizando as extensões padronizadas Zicfiss e Zicfilp. O ganho imediato é uma proteção robusta em nível de hardware contra ataques de injeção e sequestro de código, dificultando que agentes maliciosos manipulem a execução de programas.
O que isso significa na prática
O patch corrige uma fraqueza explorada há décadas em softwares. Imagine que um programa seja um trem andando em um trilho fixo ditado pelo seu código. Hackers costumam explorar falhas de memória para “trocar a chave” do trilho, desviando o trem para um destino malicioso, como uma função que concede acesso de administrador.
O Control Flow Integrity (CFI) age como um controlador de tráfego em tempo real. Ele cria uma “pilha de sombras” (shadow stack) invisível ao programa, que anota o caminho correto e original das ações. Se o fluxo de execução tentar pular para um lugar não autorizado ou retornar para um endereço modificado, o processador percebe a fraude, interrompe o trem e aborta a execução instantaneamente, protegendo a máquina.
Detalhes da implementação
A implementação arquitetada por Deepak Gupta adiciona suporte a duas extensões vitais de ISA RISC-V no Kernel Linux 7.0. A extensão Zicfiss lida com a proteção de fluxo reverso (Return-Oriented Programming – ROP) através da alocação de memórias Shadow Stack via o novo syscall map_shadow_stack(). Já a Zicfilp gerencia o rastreamento de ramificações indiretas (CFI de fluxo direto), exigindo que o código pouse em áreas designadas conhecidas como “landing pads”.
O subsistema de gerenciamento de memória (MM) passou por refatorações estruturais para fabricar as Page Table Entries (PTEs) dedicadas a essas pilhas, garantindo que o acesso de escrita (PROT_WRITE) nestas áreas restritas não permita modificações diretas pelo espaço de usuário convencional.
| Componente modificado | Ação técnica realizada | Impacto imediato |
| Extensão Zicfiss | Ativação da Shadow Stack | Bloqueia vetores de ataque ROP |
| Extensão Zicfilp | Indirect branch tracking | Garante saltos válidos de código |
| Subsistema Ptrace | Validação de registradores vetoriais | Melhora depuração de estados em falhas |
| lib/strlen.S | Otimização de loop em assembly | Ganho de performance na leitura de strings |
Curiosidades e bastidores da discussão
A integração gerou um debate acalorado e direto na LKML. Linus Torvalds mesclou (merged) o código, mas fez duras críticas à nomenclatura corporativa inserida no novo comando genérico de sistema (prctl) que controla os saltos indiretos. Torvalds classificou a constante arquitetada, nomeada provisoriamente de indir_br_lp, como “ruído de linha” e “absurda”, exigindo sua renomeação imediata para algo inteligível por humanos, como branch_landing_pad.
A discussão técnica evoluiu quando desenvolvedores como Mark Brown e Rick Edgecombe apontaram a fragmentação entre os diferentes designs de mitigação de exploits criados por corporações (como o BTI da ARM, IBT/CET da Intel e o CFI do RISC-V). Linus defendeu a implementação de uma interface unificada para todos no kernel, desencorajando fabricantes de tentarem injetar siglas confusas no código comum. O clima técnico ficou descontraído quando Linus Walleij brincou que essas proteções modernas são, ironicamente, a ressurreição da infame e antiga instrução “COMEFROM”, uma piada da ciência da computação.
Quando isso chega no meu PC?
A atualização já foi oficialmente aceita na árvore principal por Linus Torvalds durante a atual janela de integração (Merge Window). O novo suporte para RISC-V estará ativo e compilável assim que o Kernel Linux 7.0 for lançado como versão Estável nas próximas semanas. A partir de então, distribuições voltadas para o ecossistema RISC-V poderão habilitar o mecanismo nativamente para todos os processos no espaço de usuário.
