Quale serie di opzioni GCC offre la migliore protezione contro le vulnerabilità di corruzione della memoria come Buffer Overflow e Dangling Pointer? GCC fornisce qualsiasi tipo di mitigazione della catena ROP? Ci sono problemi di prestazioni o altri problemi che potrebbero impedire a questa opzione GCC di essere in un'applicazione mission-critical?
Sto osservando la guida di Debian Hardening così come GCC Mudflap . Ecco le seguenti configurazioni che sto considerando:
-D_FORTIFY_SOURCE=2
-fstack-protector --param ssp-buffer-size=4
-fPIE -pie
-Wl,-z,relro,-z,now (ld -z relro and ld -z now)
Ci sono miglioramenti che possono essere apportati a questo insieme di opzioni?
Siamo più preoccupati di proteggere WebKit.