NDSS 2025 – VulShield: Защита уязвимого кода до развертывания исправлений

Уязвимости в программном обеспечении представляют собой значительный риск безопасности из-за временной задержки в применении исправлений. Исследователи изучают временные защитные меры для устранения этого разрыва до развертывания исправлений. Существующие решения страдают от ограниченной сферы применения, необходимости модификации кода и зависимости от новых системных функций. VulShield представлен как автоматизированная система, обеспечивающая временную защиту от уязвимостей. Он генерирует политики безопасности на основе отчетов санитайзеров, определяя условия срабатывания уязвимостей. Модуль ядра Linux применяет эти политики, предотвращая уязвимости во время выполнения как в программах ядра, так и в пользовательском пространстве. VulShield не требует модификации уязвимого кода и не зависит от последних системных функций. Оценка показывает, что VulShield эффективно устраняет широкий спектр уязвимостей в различных типах программного обеспечения. Накладные расходы на производительность минимальны, с незначительной задержкой в Nginx и низкими накладными расходами в UnixBench. VulShield представляет собой практичный и неинвазивный подход к обеспечению безопасности систем до полного развертывания исправлений.