Forskare undersöker problem med körbar stack i Linux-system

Papret, med titeln 'Too Subtle to Notice: Investigating Executable Stack Issues in Linux Systems', presenterades i Session 6D om mjukvarusäkerhet: Sårbarhetsdetektering under Network and Distributed System Security Symposium (NDSS) 2025. Historiskt sett var kodinsprutning via buffertöverflöden ett vanligt angreppsvektor, men införandet av skriv-xor-exekvera (W^X)-skydd har i stort sett förhindrat skrivbar-och-körbar minne och mildrat sådana hot.

Trots dessa framsteg identifierade forskarna återkommande fall där mjukvaruutvecklare oavsiktligt inaktiverar W^X och återställer körbara stackar i populära applikationer. Varje fall har patchats, men mönstret kvarstår i modern utveckling. För att undersöka detta genomförde Ye och Hu två nyckelundersökningar. Först utvärderade de programhärdningsverktyg och fann att även erfarna säkerhetsutvecklare ofta missar kritiska steg för att förhindra körbara stackar. Noterbart introducerade 11 verktyg, implementerade som inlined reference monitors (IRM), körbara stackar i alla 'härdade' applikationer.

För det andra analyserade studien W^X-tillämpning över Linux kompilationskedja, kärna och laddare. Denna process kräver tät samordning mellan flera komponenter och bildar en komplex förtroendekedja för stackskydd. Ett vanligt förbiseende inträffar när utvecklare, inklusive säkerhetsforskare, försummar GNU-stack-sektionen i assemblerkod, vilket oavsiktligt aktiverar körbara stackar.

Resultaten skisserar potentiella angripparutnyttjandevägar och erbjuder rekommendationer för åtgärder för att stärka Linux-säkerhetsmetoder. NDSS, som främjar praktiska framsteg inom nätverks- och distribuerad systemssäkerhet, värd för presentationen för att främja bättre implementering av säkerhetstekniker.