NDSS 2025カンファレンスで、ペンシルベニア州立大学のHengkai YeとHong Huが、Linuxシステムに実行可能スタックを再導入する微妙な脆弱性に関する論文を発表した。彼らの研究は、セキュリティ専門家を含む開発者がコードインジェクション攻撃に対する保護を偶然無効化する方法を強調している。この研究は、write-xor-executeポリシーの施行におけるギャップを明らかにするために、ツールとシステムコンポーネントを調査している。
論文「Too Subtle to Notice: Investigating Executable Stack Issues in Linux Systems」は、Network and Distributed System Security Symposium (NDSS) 2025のソフトウェアセキュリティ:脆弱性検出に関するセッション6Dで発表された。歴史的に、バッファオーバーフローによるコードインジェクションは一般的な攻撃ベクターだったが、write-xor-execute (W^X) 保護の採用により、可書きかつ実行可能メモリがほぼ防止され、その脅威が緩和された。
これらの進歩にもかかわらず、研究者らはソフトウェア開発者がW^Xを意図せず無効化し、人気のアプリケーションに実行可能スタックを復元する繰り返しの事例を特定した。各ケースはパッチ適用されたが、現代の開発でパターンが持続している。これを探るため、YeとHuは2つの主要な調査を実施した。まず、プログラム強化ツールを評価し、経験豊富なセキュリティ開発者でさえ実行可能スタックを防ぐ重要なステップを見逃すことが多いことがわかった。特に、インライン参照モニタ(IRM)として実装された11のツールが、全ての「強化」アプリケーションに実行可能スタックを導入した。
第二に、Linuxのコンパイルツールチェーン、カーネル、ローダでのW^X施行を分析した。このプロセスは複数のコンポーネント間の厳密な調整を必要とし、スタック保護のための複雑な信頼チェーンを形成する。頻繁な見落としは、開発者(セキュリティ研究者を含む)がアセンブリコードのGNU-stackセクションを無視し、意図せず実行可能スタックを有効化することである。
結果は潜在的な攻撃者活用経路を概説し、Linuxセキュリティ慣行を強化するための緩和策の推奨を提供する。ネットワークおよび分散システムセキュリティの実用的進歩を促進するNDSSは、セキュリティ技術のより良い実装を育むために発表を主催した。
