Integrite du flot de controle
Qu'est-ce que Integrite du flot de controle ?
Integrite du flot de controleL'integrite du flot de controle (CFI) restreint les appels indirects et les retours du programme a un ensemble precalcule de cibles legitimes, bloquant ROP et JOP.
CFI a ete formalisee en 2005 par Abadi, Budiu, Erlingsson et Ligatti. Le compilateur construit le graphe de flot de controle, attribue a chaque site d'appel indirect un ensemble de cibles autorisees et instrumente les sites d'appel et de retour avec des verifications a l'execution. Les implementations courantes comprennent LLVM CFI (arretes avant via des identifiants par type), Microsoft Control Flow Guard, kCFI du noyau Linux et des variantes materielles comme Intel CET-IBT et Arm BTI pour les branches indirectes, plus des shadow stacks pour les retours. CFI bloque ROP/JOP car la chaine de gadgets viole les ensembles d'arretes legitimes. Les limites principales sont les classes d'equivalence trop larges en C/C++ et les interfaces incompatibles.
● Exemples
- 01
Microsoft Control Flow Guard rejette un appel indirect via vtable corrompue dans Edge.
- 02
Le noyau Linux 6.x avec kCFI arrete une chaine ROP exploitant un pilote vulnerable.
● Questions fréquentes
Qu'est-ce que Integrite du flot de controle ?
L'integrite du flot de controle (CFI) restreint les appels indirects et les retours du programme a un ensemble precalcule de cibles legitimes, bloquant ROP et JOP. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Integrite du flot de controle ?
L'integrite du flot de controle (CFI) restreint les appels indirects et les retours du programme a un ensemble precalcule de cibles legitimes, bloquant ROP et JOP.
Comment se défendre contre Integrite du flot de controle ?
Les défenses contre Integrite du flot de controle combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Integrite du flot de controle ?
Noms alternatifs courants : CFI, Control Flow Guard, kCFI.