深入解析 Linux 新系统调用：mseal (blog.trailofbits.com)

本文深入探讨了 Linux 内核 6.10 版本中引入的新系统调用 mseal，它提供了一种称为“内存密封”的保护机制。文章详细解释了 mseal 的工作原理，以及它与之前的内存保护方案的区别，例如 memfd_create 和 memfd_secret。与侧重于防止本地攻击的方案不同，mseal 专门用于缓解远程攻击者试图获取代码执行权限的漏洞利用。文章还介绍了 mseal 如何通过阻止修改内存权限和防止内存解除映射攻击来保护用户空间，并提供了一些代码示例来说明其用法和效果。