Alors que IO_uring est l'une des plus grandes innovations du noyau Linux ces dernières années, aidant à fournir des E/S plus efficaces et plus performantes, il présente également diverses vulnérabilités de sécurité. En raison de problèmes de sécurité persistants, cette interface pour les E/S asynchrones est restreinte ou complètement désactivée dans les produits Google.
Selon le Google Security Blog , 60 % des soumissions au programme Google Bug Bounty sont liées à IO_uring. Et Google a payé environ 1 million de dollars pour la prime de bogue IO_uring. Par conséquent, Google estime que IO_uring présente un grand risque de sécurité en termes de coût de récompense et de nombre de vulnérabilités du noyau.
Par conséquent, Google a désactivé IO_uring dans Chrome OS jusqu'à ce qu'une méthode de bac à sable appropriée puisse être trouvée.
Dans le même temps, Android de Google utilise le filtre seccomp-bpf pour s'assurer que les applications ne peuvent pas accéder à IO_uring. Les futures versions d'Android utiliseront SELinux pour restreindre IO_uring aux seuls processus système sélectionnés.
De plus, Google recherche activement la désactivation de IO_uring par défaut dans GKE AutoPilot.
Enfin, ils ont désactivé l'utilisation de IO_uring sur les serveurs de production de Google.
Le blog de sécurité Google poursuit : "Bien que io_uring apporte des avantages en termes de performances et des réponses rapides aux problèmes de sécurité avec des correctifs de sécurité complets (tels que le rétroportage de 5.15 vers l'arborescence stable 5.10), il s'agit, après tout, d'une partie relative plus récente. Ainsi, alors que io_uring continue de être activement développé, il est également sujet à de graves bogues et il fournit également de puissantes primitives d'exploitation. Pour ces raisons, nous ne le considérons actuellement utile que pour Il est sûr pour une utilisation par des composants de confiance uniquement.