70٪ اشکالات امنیتی Chrome و مشکلات مربوط به مدیریت حافظه است

سعید ناصریسعید ناصریژوئن 30, 20201min0

مهندسان گوگل به تازگی اعلام کرده اند که نزدیک به 70 درصد اشکالات امنیتی جدی در کد پایه Chrome مربوط به مدیریت رم و اشکالات امنیتی است.

نیمی از این 70 درصد مربوط به اختلالات حافظه نوع حافظه "Use After Free" است ، نوعی از مشکل امنیتی ناشی از مدیریت نادرست حافظه اشاره گر است که باعث می شود هکرها از آنها برای حمله به اجزای داخلی استفاده کنند. برای دستیابی به این نتیجه ، محققان گوگل 912 اشکال امنیتی را که از سال 2015 برطرف شده اند ، بررسی کردند ، اما این اشکالات در گروه خطرناکی قرار دارند.

آماری که توسط مهندسین گوگل منتشر شده است همانند مایکروسافت & # 39؛ مهندسان مایکروسافت در کنفرانس امنیتی فوریه 2019 اعلام کردند که نزدیک به 70 درصد از به روزرسانی های امنیتی محصولات مایکروسافت برای رفع آسیب پذیری های حافظه منتشر شده اند.

مایکروسافت و گوگل با زبان برنامه نویسی C و C ++ با مشکل مشابهی دست و پنجه نرم می کنند. این دو زبان چندان مطمئن نیستند و ده ها سال است که توسعه یافته اند. هنگامی که بسیاری از حملات سایبری در جهان وجود نداشته اند ، مهندسان توجه زیادی به آنها نکرده اند.

توسعه دهندگان این دو زبان می توانند نشانگر حافظه را به طور کامل کنترل کنند. اگر توسعه دهنده در مدیریت حافظه اشتباه کند ، C و C ++ به وی اخطار نمی دهند. این اجازه می دهد تا دستگاهها توسط آسیب پذیری های مدیریت رم مورد حمله قرار گیرند. بسیاری از مهاجمان از این آسیب پذیری ها برای هدف قرار دادن قربانیان خود استفاده می کنند.

در سالهای اخیر مهندسان نرم افزار گامهای بلندی برداشته و توانسته اند بسیاری از مشکلات اساسی امنیتی را برطرف کنند ، اما هنوز هم برای آسیب پذیری های مدیریت حافظه راه حل های زیادی وجود ندارد. گوگل اعلام کرده است که از مارس 2019 ، 125 از 130 آسیب پذیری خطرناک کروم به حافظه آن وصل شده است.

اشکالات مدیریت حافظه زیادی وجود دارد که مهندسان Chrome در Google مجبور به استفاده از "The Rule Of 2" هستند. طبق این قانون ، هنگامی که مهندسان ویژگی جدیدی را برای Chrome در نظر می گیرند ، کد آنها می تواند حداکثر دو مورد زیر را داشته باشد:

کد هایی که ورودی های غیرقابل اعتماد را پردازش می کنند. کد که بدون "ماسهبازی" اجرا می شود. کدی که توسط زبانهای برنامه نویسی ناامن مانند C و C ++ نوشته شده است.

هر شرکتی در نظر دارد به نوعی با این روش ها مقابله کند با این آسیب پذیری ها ، یکی از آنها استفاده از زبان برنامه نویسی جدید است. "درست" یکی از امن ترین زبان های برنامه نویسی است که توسط Mozilla Research ساخته شده است.

یک نظر بدهید

ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت گذاری شده اند *

2 × دو =