Het populaire Linux-besturingssysteem Fedora staat mogelijk op het punt om een belangrijke beveiligingsverbetering door te voeren. Voor de aankomende versie, Fedora 45, ligt een voorstel klaar om de zogenaamde ‘Shadow Stack’-functionaliteit standaard in te schakelen voor moderne Intel- en AMD-processors. Dit is een technische stap die de algehele veiligheid van het systeem aanzienlijk kan verhogen tegen geavanceerde aanvallen.
Shadow Stack is een beveiligingsfunctie die direct in de hardware van nieuwere processors is ingebouwd. Het werkt door een soort dubbele administratie bij te houden van de ‘call stack’, een cruciaal onderdeel van hoe programma’s instructies uitvoeren. Wanneer een functie wordt aangeroepen, wordt niet alleen de terugkeerlocatie op de normale stack geplaatst, maar ook op een aparte, beveiligde Shadow Stack.
Dit klinkt misschien technisch, maar het idee erachter is slim: het maakt het veel moeilijker voor kwaadwillende software om de normale call stack te manipuleren. Cybercriminelen gebruiken vaak technieken zoals ‘Return-Oriented Programming’ (ROP) om de uitvoeringsstroom van een programma te kapen. Ze overschrijven dan de terugkeeradressen op de stack om hun eigen code te laten draaien. Met een Shadow Stack controleert het systeem of de terugkeeradressen op beide stacks overeenkomen. Als dat niet zo is, wordt de aanval direct gedetecteerd en gestopt.
Voor jou als gebruiker betekent dit vooral een stillere, maar effectievere bescherming. Je hoeft zelf niets in te stellen; de beveiliging werkt op de achtergrond. Het is een extra laag die het voor aanvallers lastiger maakt om controle over je systeem te krijgen, zelfs als ze een kwetsbaarheid vinden. Wel is het zo dat deze functie alleen werkt op recentere hardware, zoals Intel Tiger Lake/Rocket Lake processors en nieuwer, of AMD Zen 3 en nieuwere architecturen. Oudere systemen zullen hier geen voordeel uit halen, maar ook geen nadeel ondervinden. Een kleine prestatie-impact is denkbaar, maar die zal in de praktijk voor de meeste gebruikers nauwelijks merkbaar zijn.
Als dit voorstel wordt goedgekeurd, onderstreept het Fedora’s voortdurende inzet om voorop te lopen op het gebied van beveiliging en de nieuwste hardwaremogelijkheden te benutten. Het is een belangrijke stap om Linux-systemen nog robuuster te maken tegen de steeds complexere bedreigingen van vandaag.
Bron: https://www.phoronix.com/news/Fedora-45-Consider-Shadow-Stack
