Duty-Free.cc
Уязвимости

Linux больше не сражается с уязвимостями вручную — теперь за него это делает компактный и умный робот от AMD.

Duty News 0 03.05.2025

Attack Vector Controls может изменить подход к защите от уязвимостей на уровне ядра Linux

Инженеры AMD продолжают продвигать безопасность процессоров под Linux и представили новую инициативу — систему управления защитами под названием Attack Vector Controls. Эта разработка направлена на кардинальное упрощение работы с митигациями уязвимостей, смещая фокус с индивидуального подхода к каждой проблеме на более масштабное управление — по типам угроз и векторами атак.

Вместо того чтобы вручную активировать каждую защиту через отдельные патчи и параметры, разработчики смогут использовать унифицированную систему, которая включает нужные митигации в зависимости от типа атаки. Такой подход не только логичнее, но и значительно упрощает сопровождение и снижает риск ошибок при настройке.

Первая фаза проекта уже близка к интеграции в ядро Linux 6.16: десятки патчей были добавлены в ветку x86/bugs основного репозитория TIP, а подготовка началась ещё с версии Linux 6.15. Теперь, когда появилась рабочая реализация, интеграция в основную ветку — лишь вопрос времени.

Ведущий разработчик проекта, инженер AMD Дэвид Каплан, поясняет: новая система организует процесс митигации с помощью набора стандартизированных функций. Для каждой потенциальной уязвимости вызывается функция select, которая определяет, какая защита будет активирована. Если пользователь не указал свои предпочтения через параметры командной строки, выбирается автоматический режим (AUTO). Далее, при необходимости, функция update согласовывает выбор защит с другими активными митигациями, а затем функция apply применяет финальные настройки.

Такой уровень автоматизации особенно важен для современных процессоров, где разные уязвимости могут пересекаться, а митигации — конфликтовать или влиять на производительность. Несмотря на то, что работа над Attack Vector Controls ещё продолжается, уже сейчас ясно, что этот механизм может существенно облегчить жизнь как разработчикам ядра, так и системным администраторам.