G.O.S.S.I.P 阅读推荐 2024-05-06 Pythia

熟悉计算机安全的读者肯定对CFI也就是control flow integrity不陌生，当然我们知道，实现CFI是一件很困难的事情，特别是要实现既准确又完备的CFI，恐怕是有点理想化。那么，和CFI相比，DFI也就是data flow integrity可能是更难去保证的一种安全防护，因为数据本身就很难去判定其性质。进入五月，我们从刚刚结束的ASPLOS 2024上选择了一篇研究论文Pythia: Compiler-Guided Defense Against Non-Control Data Attacks推荐给大家，来看看研究人员对data only attack这种安全威胁的相关防护研究进展：论文首先举了一个例子，介绍了non-control data attack，虽然作者有点懒，拿了他们在2006年MICRO上的论文中的例子来重用，但是确实一看就能理解：一般来说，大家认为non-control data attack的特点在于通过内存破坏漏洞去控制那些用来控制分支跳转的变量，进而让程序执行进入到如上图所示的特权 ………………………………