Casi todos los errores de seguridad de Google Chrome involucran fallas de memoria

• Сравнение
• Видео
• Casi todos los errores de seguridad de Google Chrome involucran fallas de memoria

La gran mayoría de todos los errores de seguridad encontrados en Google Chrome están relacionados con la administración de memoria, dijeron los investigadores de la compañía. Tras un análisis de más de 900 errores de seguridad críticos / altos encontrados en el canal estable desde 2015, los ingenieros de Google confirmaron que alrededor del 70% de ellos se relacionan con la gestión y seguridad de la memoria. Los problemas de seguridad de la memoria son principalmente errores de codificación C y C ++, los dos lenguajes de codificación principales en las bases de código de Chrome y Microsoft. Del porcentaje mencionado, el 50% son vulnerabilidades de uso posteriores al lanzamiento, enraizadas en punteros de memoria mal administrados.

Correcciones requeridas

El problema subyacente es que C y C ++ son lenguajes de programación más antiguos que no tienen en cuenta la posibilidad de ataques cibernéticos. Permiten a los programadores controlar completamente la administración de los punteros de memoria y no los alertan automáticamente de posibles errores de administración de memoria durante el desarrollo. Por lo tanto, estos errores y las debilidades de administración de memoria resultantes, como el uso posterior al lanzamiento, las condiciones competitivas, el lanzamiento doble, el desbordamiento del búfer, etc. están integrados en las aplicaciones de Chrome y Microsoft. Las debilidades en la administración de la memoria se encuentran entre las primeras cosas que buscan los posibles atacantes, ya que pueden usarlas para incrustar simplemente su código malicioso en la memoria de un dispositivo y luego esperar a que sus propias aplicaciones lo ejecuten. la victima. Los errores de administración de memoria se han convertido en un problema que obliga a los ingenieros de Google a seguir la "regla de 2" al escribir un nuevo programa de Chrome. Según este estándar, el código para la nueva funcionalidad no debe violar más de dos de las siguientes condiciones: El hallazgo está en línea con una declaración de un ingeniero de Microsoft en una conferencia de seguridad en febrero de 2019 de que durante más de una década, el 70% de los problemas de seguridad se resolvieron cada año a través de una actualización Problemas de seguridad de Microsoft relacionados con la seguridad de la memoria.

• Maneja entradas no confiables
• Funciona sin sandbox.
• Está escrito en un lenguaje de programación vulnerable (C / C ++)

Mozilla ha adoptado Rust como su lenguaje de programación para Firefox. Rust es considerado uno de los lenguajes de programación más seguros, ideal para mitigar las vulnerabilidades inherentes a C y C ++. Microsoft también está experimentando con Rust, además de crear un lenguaje de programación seguro patentado. Los ingenieros de The Chromium Project han declarado que creen que el sandboxing y el aislamiento del sitio están llegando a sus límites y que la mejor manera de hacerlo es "eliminar los errores en la fuente en lugar de tratar de contenerlos más tarde". " En el futuro, los ingenieros de Google planean explorar soluciones como bibliotecas C ++ personalizadas, mitigaciones de hardware y usar lenguajes más seguros siempre que sea posible. Las opciones incluyen Rust, JavaScript, Java y Swift. Los desarrolladores también están estudiando el proyecto MiraclePtr, una iniciativa para convertir los errores de uso después del lanzamiento de "errores de seguridad en fallas no relacionadas con la seguridad". Vía: ZDNet