Friendoffriends
Google caută alte modalități decât sandboxing pentru a rezolva erorile persistente de memorie Chrome. Problema abordată de echipa Chromium are legătură cu gestionarea liberală a memoriei în limbaje de programare precum C ++ și C.
Aceste instrumente oferă dezvoltatorilor o mulțime de posibilități atunci când lucrează cu indicatori și inițializarea memoriei. O astfel de arhitectură îmbunătățește performanța aplicației, dar actorii răi profită de aceasta.
Rezolvarea erorilor de memorie Chrome necesită mai mult decât doar sandboxing
Un raport al echipei Chromium a dezvăluit că 70% dintre bug-urile Chrome cu severitate ridicată sunt rezultatul exploatării memoriei C ++ și C.
De asemenea, studiul a constatat că 36,1% dintre bug-uri aparțin varietății de utilizare după liber. Aceste tipuri de erori implică încercări de a accesa memoria sistemului numai după ce a fost eliberată.
Rezultatul unei astfel de încălcări poate fi orice, de la blocarea sistemului până la executarea unui cod arbitrar. Unii hackeri implementează erori de utilizare după liber pentru a efectua atacuri de executare de cod la distanță (RCE).
La fel ca mulți alți giganți ai software-ului, Google a folosit sandboxing pentru a rezolva problemele de securitate ale cromului.
Însă compania spune că amenințările avansate la adresa securității au întins capacitățile de sandboxing la limită. De obicei, tehnica împiedică executarea codului arbitrar în afara unui mediu specific.
Deci, dacă un atacator încalcă cu succes securitatea Chrome, nu ar trebui să-și poată muta codul în alte medii, cum ar fi computerul utilizatorului.
Dar izolarea cu nisip sau izolarea site-ului este o tehnică intensivă în proces. Ca atare, poate compromite performanța generală a sistemului.
În orice caz, abordarea se referă la codul rău intenționat care a fost deja livrat.
Prin urmare, Google caută modalități de a aborda erorile de memorie Chrome la punctul de origine.
Abordăm problema nesiguranței memoriei - remedierea claselor de bug-uri la scară, mai degrabă decât simpla conținere a acestora - prin toate mijloacele necesare.
Proiectul Chromium caută acum soluții în locuri precum biblioteci C ++ personalizate, atenuări hardware și, de asemenea, utilizarea limbajelor mai sigure.
Cu toate acestea, Google nu este singura companie care caută modalități mai eficiente de a elimina erorile de memorie.
Microsoft, de exemplu, lucrează în prezent pentru a rezolva vulnerabilitățile de inițializare a memoriei în aplicațiile C ++.
Contactați-ne cu sugestii sau întrebări, lăsând un mesaj în secțiunea de comentarii de mai jos.
- Securitate cibernetică
