Fast alle Sicherheitslücken in Google Chrome gehen mit Speicherfehlern einher

• Der Vergleich
• Video
• Fast alle Sicherheitslücken in Google Chrome gehen mit Speicherfehlern einher

Die überwiegende Mehrheit aller in Google Chrome gefundenen Sicherheitslücken hängen mit der Speicherverwaltung zusammen, sagten die Forscher des Unternehmens. Nach einer Analyse von mehr als 900 kritischen/hochsicheren Fehlern, die seit 2015 im Stable-Kanal gefunden wurden, bestätigten die Google-Ingenieure, dass etwa 70 % davon mit der Speicherverwaltung und -sicherheit zusammenhängen. Speichersicherheitsprobleme sind hauptsächlich C- und C++-Codierungsfehler, die beiden wichtigsten Codierungssprachen in den Codebasen von Chrome und Microsoft. 50 % des genannten Prozentsatzes sind Schwachstellen in der Benutzerfreundlichkeit nach der Veröffentlichung, die auf falsch verwaltete Speicherzeiger zurückzuführen sind.

erforderliche Korrekturen

Das zugrunde liegende Problem besteht darin, dass C und C++ ältere Programmiersprachen sind, die die Möglichkeit von Cyberangriffen nicht berücksichtigen. Sie ermöglichen Programmierern die vollständige Kontrolle über die Speicherzeigerverwaltung und machen sie nicht automatisch auf mögliche Speicherverwaltungsfehler während der Entwicklung aufmerksam. Also diese Fehler und die daraus resultierenden Schwachstellen bei der Speicherverwaltung, wie z. B. Nutzung nach dem Start, Wettbewerbsbedingungen, Doppelstart, Pufferüberlauf usw. Sie sind in Chrome- und Microsoft-Apps integriert. Schwachstellen in der Speicherverwaltung gehören zu den ersten Dingen, nach denen potenzielle Angreifer suchen, da sie damit einfach ihren Schadcode in den Speicher eines Geräts einbetten und dann darauf warten können, dass ihre eigenen Anwendungen ihn ausführen. das Opfer. Fehler bei der Speicherverwaltung sind zu einem Problem geworden, das die Google-Ingenieure dazu zwingt, beim Schreiben eines neuen Chrome-Programms die „Regel von 2“ zu befolgen. Nach diesem Standard darf Code für neue Funktionen nicht mehr als zwei der folgenden Bedingungen verletzen: Die Feststellung steht im Einklang mit einer Aussage eines Microsoft-Ingenieurs auf einer Sicherheitskonferenz im Februar 2019, dass seit mehr als einem Jahrzehnt 70 % der Sicherheitsprobleme bestehen Jedes Jahr werden Microsoft-Sicherheitsprobleme im Zusammenhang mit der Speichersicherheit durch ein Update behoben.

• Behandeln Sie nicht vertrauenswürdige Eingaben
• Es funktioniert ohne Sandboxing.
• Es ist in einer anfälligen Programmiersprache (C/C++) geschrieben.

Mozilla hat Rust als Programmiersprache für Firefox übernommen. Rust gilt als eine der sichersten Programmiersprachen und eignet sich ideal zur Behebung der Schwachstellen von C und C++. Microsoft experimentiert auch mit Rust und entwickelt eine proprietäre sichere Programmiersprache. Ingenieure des Chromium-Projekts haben erklärt, dass Sandboxing und Site-Isolierung ihrer Meinung nach an ihre Grenzen stoßen und dass der beste Weg, dies zu erreichen, darin bestehe, „Fehler an der Quelle zu entfernen, anstatt zu versuchen, sie später einzudämmen“. In Zukunft planen die Google-Ingenieure, Lösungen wie benutzerdefinierte C++-Bibliotheken, Hardware-Entschärfungen und die Verwendung sichererer Sprachen zu erkunden, wo immer möglich. Zu den Optionen gehören Rust, JavaScript, Java und Swift. Entwickler prüfen auch das Projekt MiraclePtr, eine Initiative um Usability-Fehler nach dem Start von „Sicherheitsfehlern“ in Nicht-Sicherheitsfehler umzuwandeln Via: ZDNet