Die überwiegende Mehrheit aller in Google Chrome gefundenen Sicherheitslücken hängen mit der Speicherverwaltung zusammen, sagten die Forscher des Unternehmens. Nach einer Analyse von mehr als 900 kritischen/hochsicheren Fehlern, die seit 2015 im Stable-Kanal gefunden wurden, bestätigten die Google-Ingenieure, dass etwa 70 % davon mit der Speicherverwaltung und -sicherheit zusammenhängen. Speichersicherheitsprobleme sind hauptsächlich C- und C++-Codierungsfehler, die beiden wichtigsten Codierungssprachen in den Codebasen von Chrome und Microsoft. 50 % des genannten Prozentsatzes sind Schwachstellen in der Benutzerfreundlichkeit nach der Veröffentlichung, die auf falsch verwaltete Speicherzeiger zurückzuführen sind.
erforderliche Korrekturen
Das zugrunde liegende Problem besteht darin, dass C und C++ ältere Programmiersprachen sind, die die Möglichkeit von Cyberangriffen nicht berücksichtigen. Sie ermöglichen Programmierern die vollständige Kontrolle über die Speicherzeigerverwaltung und machen sie nicht automatisch auf mögliche Speicherverwaltungsfehler während der Entwicklung aufmerksam. Also diese Fehler und die daraus resultierenden Schwachstellen bei der Speicherverwaltung, wie z. B. Nutzung nach dem Start, Wettbewerbsbedingungen, Doppelstart, Pufferüberlauf usw. Sie sind in Chrome- und Microsoft-Apps integriert. Schwachstellen in der Speicherverwaltung gehören zu den ersten Dingen, nach denen potenzielle Angreifer suchen, da sie damit einfach ihren Schadcode in den Speicher eines Geräts einbetten und dann darauf warten können, dass ihre eigenen Anwendungen ihn ausführen. das Opfer. Fehler bei der Speicherverwaltung sind zu einem Problem geworden, das die Google-Ingenieure dazu zwingt, beim Schreiben eines neuen Chrome-Programms die „Regel von 2“ zu befolgen. Nach diesem Standard darf Code für neue Funktionen nicht mehr als zwei der folgenden Bedingungen verletzen: Die Feststellung steht im Einklang mit einer Aussage eines Microsoft-Ingenieurs auf einer Sicherheitskonferenz im Februar 2019, dass seit mehr als einem Jahrzehnt 70 % der Sicherheitsprobleme bestehen Jedes Jahr werden Microsoft-Sicherheitsprobleme im Zusammenhang mit der Speichersicherheit durch ein Update behoben.- Behandeln Sie nicht vertrauenswürdige Eingaben
- Es funktioniert ohne Sandboxing.
- Es ist in einer anfälligen Programmiersprache (C/C++) geschrieben.