Google szuka sposobów innych niż piaskownica, aby rozwiązać trwałe błędy pamięci Chrome. Problem, którym zajmuje się zespół Chromium, ma coś wspólnego z liberalnym zarządzaniem pamięcią w językach programowania, takich jak C ++ i C.
Te narzędzia dają programistom dużą swobodę podczas pracy ze wskaźnikami i inicjalizacją pamięci. Taka architektura zwiększa wydajność aplikacji, ale źli aktorzy to wykorzystują.
Rozwiązywanie problemów z pamięcią Chrome wymaga czegoś więcej niż tylko piaskownicy
Raport zespołu Chromium ujawnił, że 70% poważnych błędów Chrome jest wynikiem exploitów pamięci C ++ i C.
Badanie wykazało również, że 36,1% błędów należy do odmian, których nie można użyć po zużyciu. Tego typu błędy obejmują próby uzyskania dostępu do pamięci systemowej dopiero po jej zwolnieniu.
Skutkiem takiego naruszenia może być wszystko, od awarii systemu po wykonanie dowolnego kodu. Niektórzy hakerzy wdrażają błędy typu „użyj po zwolnieniu” w celu przeprowadzenia ataków na zdalne wykonanie kodu (RCE).
Podobnie jak wielu innych gigantów oprogramowania, Google używa piaskownicy do rozwiązywania problemów z bezpieczeństwem Chrome.
Ale firma twierdzi, że zaawansowane zagrożenia bezpieczeństwa rozciągnęły możliwości piaskownicy do granic możliwości. Zwykle technika ta uniemożliwia wykonanie dowolnego kodu poza określonym środowiskiem.
Jeśli więc atakujący skutecznie naruszy zabezpieczenia Chrome, nie powinien mieć możliwości przeniesienia swojego kodu do innych środowisk, takich jak komputer użytkownika.
Ale piaskownica lub izolacja witryn to technika wymagająca dużej ilości procesów. W związku z tym może to zagrozić ogólnej wydajności systemu.
W każdym razie podejście to dotyczy już dostarczonego złośliwego kodu.
Dlatego Google szuka sposobów na naprawienie błędów pamięci Chrome w miejscu ich powstania.
Zajmujemy się problemem braku bezpieczeństwa pamięci - naprawiamy klasy błędów na dużą skalę, a nie tylko je ograniczamy - wszelkimi niezbędnymi środkami.
Projekt Chromium szuka teraz rozwiązań w takich miejscach, jak niestandardowe biblioteki C ++, sprzętowe środki zaradcze, a także użycie bezpieczniejszych języków.
Jednak Google nie jest jedyną firmą, która szuka skuteczniejszych sposobów eliminacji błędów pamięci.
Na przykład Microsoft pracuje obecnie nad rozwiązaniem luk w zabezpieczeniach związanych z inicjalizacją pamięci w aplikacjach C ++.
Skontaktuj się z nami z wszelkimi sugestiami lub pytaniami, zostawiając wiadomość w sekcji komentarzy poniżej.
- Bezpieczeństwo cybernetyczne