Friendoffriends
Google sta cercando modi diversi dal sandboxing per risolvere i bug persistenti della memoria di Chrome. Il problema che il team di Chromium sta affrontando ha qualcosa a che fare con la gestione della memoria liberale in linguaggi di programmazione come C ++ e C..
Questi strumenti offrono agli sviluppatori un ampio margine di manovra quando si lavora con i puntatori e l'inizializzazione della memoria. Tale architettura migliora le prestazioni delle app, ma i cattivi attori ne stanno approfittando.
La risoluzione dei bug di memoria di Chrome richiede più del semplice sandboxing
Un rapporto del team di Chromium ha rivelato che il 70% dei bug di Chrome ad alta gravità sono il risultato di exploit di memoria C ++ e C.
Inoltre, lo studio ha rilevato che il 36,1% dei bug è della varietà use-after-free. Questi tipi di bug comportano tentativi di accesso alla memoria di sistema solo dopo che è stata liberata.
Il risultato di una tale violazione può essere qualsiasi cosa, dal crash del sistema all'esecuzione di codice arbitrario. Alcuni hacker distribuiscono bug use-after-free per eseguire attacchi di esecuzione di codice in modalità remota (RCE).
Proprio come molti altri giganti del software, Google ha utilizzato il sandboxing per gestire i problemi di sicurezza di Chrome.
Ma l'azienda afferma che le minacce alla sicurezza avanzate hanno esteso al limite le capacità di sandboxing. Di solito, la tecnica impedisce l'esecuzione di codice arbitrario al di fuori di un ambiente specifico.
Pertanto, se un utente malintenzionato viola con successo la sicurezza di Chrome, non dovrebbe essere in grado di spostare il proprio codice in altri ambienti, come il PC dell'utente.
Ma il sandboxing o l'isolamento del sito è una tecnica ad alta intensità di processo. In quanto tale, può compromettere le prestazioni complessive del sistema.
In ogni caso, l'approccio si occupa di codice dannoso che è già stato consegnato.
Google è quindi alla ricerca di modi per affrontare i bug della memoria di Chrome nel punto di origine.
Stiamo affrontando il problema della sicurezza della memoria - correggere classi di bug su larga scala, piuttosto che limitarsi a contenerle - con ogni mezzo necessario.
Il progetto Chromium sta ora cercando soluzioni in luoghi come librerie C ++ personalizzate, mitigazioni hardware e anche l'uso di linguaggi più sicuri.
Tuttavia, Google non è l'unica azienda alla ricerca di modi più efficaci per eliminare i bug di memoria.
Microsoft, ad esempio, sta attualmente lavorando per risolvere le vulnerabilità di inizializzazione della memoria nelle applicazioni C ++.
Contattaci per qualsiasi suggerimento o domanda lasciando un messaggio nella sezione commenti qui sotto.
- Cybersecurity
