Chrome和其他浏览器中多达70%的安全风险是由内存管理问题引起的。根据最近的一份报告,该报告汇集了Microsoft和Google共享的详细信息和统计信息。虽然潜在的问题有所不同,从古怪的编程语言的古怪代码到编写得不好的代码不等,但使用后使用的漏洞占了一半。
这是两家公司的工程师都希望解决的难题。
(资料图片仅供参考)
浏览器中的内存管理安全风险到底是什么?
如上所述,此处的数据基于两个单独的报告。Google方面分析了自2015年以来已修复的912个具有高或严重严重性等级的安全漏洞。微软检查了12年的安全漏洞。但是它们都取决于相同类型的安全性问题。也就是说,这就是上面提到的“先用后用”漏洞。而且还包括缓冲区溢出,竞争条件,双精度释放,野生指针等。
对于Google而言,特别需要关注三个方面。这些是处理不可信输入或无需沙箱运行的代码。沙盒可以有效地将网站或应用程序的代码与其他代码隔离开。这是不安全编程语言的补充。
实际上,这家搜索巨头目前正在执行“ 2规则”。该规则要求编写新的Chrome功能时,不得提出其中两个以上的问题要点。
无论如何,这些几乎是所有浏览器(不仅仅是Chrome)的通用内存安全问题。
现在,从Chrome到Firefox,目前每个浏览器巨头的主要关注点就是使用不安全的语言。Google Chrome和其他浏览器已经非常重视与网站隔离有关的解决方案。实际上, 至少从2018 年开始,Google就一直在以某种形式积极地 将网站隔离纳入 Chrome。由于浏览器非常依赖用户和其他来源的输入,因此可能会留下不可信的输入。
站点隔离在解决该问题上已经走了很长一段路,但是,正如Google所说,这已经达到了最大的收益。该领域的更多工作可能会严重影响性能。
尽管找到更安全的编程语言是一种无处不在的解决方案,但是,并非每个公司都采用相同的方法。
有什么解决方案?
例如,Mozilla已在这方面带头努力。但是它在Rust编程语言的探索和开发上投入了大量资金。微软也在探索Rust的使用。但是它的努力,尤其是现在Edge是基于Chromium的,远远超出了它。该公司还通过其Checked C项目检查了修复不安全语言的方法。并且它通过Project Verona构建了自己的编程语言,类似于Rust。
对于Google而言,该方法也分为三方面。这家搜索巨头表示,它正在考虑开发自定义C ++库。Google会使用Chrome数据库中的密码,并提供更好的保护以防止普遍存在的漏洞。它还在探索Rust,Swift,JavaScript,Kotlin和Java作为可能的替代品。该公司至少在2017年就开始对Kotlin进行探索,当时Kotlin正式向Android添加了对该语言的支持。
在更新颖的解决方案中,谷歌正在探索一种可能性,特别是无偿使用漏洞可以简单地转变为安全崩溃。通过这样做,Google可以有效利用漏洞加以关闭。但是对性能的影响却很小。
下一篇:最后一页