В LTS общността на Linux се появи важна инициатива: Саша Левин от NVIDIA, член на консултативния съвет на Linux Foundation и един от основните поддръжници на дългосрочните ядра, предложи нов механизъм killswitch, който позволява моментално блокиране на определена функционалност в работещото ядро. Идеята е проста, но силно функционална. Когато бъде открита критична уязвимост, администраторите да могат временно да я неутрализират, без да чакат пач или рестарт като спрат уязвимата функционалност.
Механизмът се управлява чрез файла /sys/kernel/security/killswitch/control, в който могат да се задават правила за прихващане на конкретни функции по име. Така например при уязвимостта Copy Fail е достатъчно да се активира прехващане за функцията af_alg_sendmsg, като я принуди да връща грешка вместо да се изпълнява. Това превръща killswitch.а в своеобразен авариен клапан, който може да не е елегантно решение, но е ефективно, когато ситуацията е критична.
Подсистемата kprobes позволява използването на широк набор символи за имената на функциите, което прави механизма гъвкав. Много от последните уязвимости се намират в модули, които се използват от малък брой потребители като AF_ALG, ksmbd, nf_tables, vsock или ax25. За повечето системи временното им изключване е далеч по-малък риск от оставането с активно експлоатируема уязвимост. Това важи особено в ситуации като вчерашната уязвимост Dirty Frag, при която експлойтът се появи публично преди да има наличен пач.
Предложението на Левин поставя началото на по-структуриран подход към реакцията при zero‑day уязвимости като ефективен подход, който може да се превърне във важен похват за бъдещата еволюция на сигурността в Linux ядрото.
