您现在的位置是:首页 > 热点动态 > 正文
Chrome 70%的安全错误是内存安全问题
发布时间:2021-03-26 06:02:03来源:
Chrome工程师在本周的博客文章中(通过ZDNet)透露,Chrome代码库中将近70%的错误是与内存管理和安全相关的错误。这些错误中几乎有一半是释放后使用错误,这些错误在程序释放指针后使用指针时发生。这些是最常见的浏览器漏洞类别,黑客可以利用它们来攻击Chrome的内部组件。
Chrome工程师自2015年以来共分析了912个高危和严重的安全漏洞,发现这些漏洞中有近36.1%是“售后使用”漏洞,32.9%是内存不安全漏洞,而7.1%是与安全相关的漏洞。这些错误在我们的代码库中平均分布,并且很大一部分非安全稳定性错误具有相同的根本原因。这些漏洞不仅给我们的用户带来风险,而且还给我们修复和交付Chrome带来了实际成本。”工程师在博客中指出。
有趣的是,这些数字与去年微软在安全会议上分享的数字相同。据ZDNet报道,去年一位Microsoft工程师透露,Microsoft产品中几乎70%的错误都是内存安全问题。
这两个平台之间的另一个相似之处是C和C ++的用法。这些是开发人员使用的旧编程语言。当他们犯内存分配错误并且通常被认为“不安全”时,它们不会警告或限制开发人员。这些早期错误如果未被发现,可能会在应用程序中创建漏洞,进而为黑客提供控制Chrome进程的网关。
谷歌表示,沙箱技术是工程师用来防止黑客接管主机的最常用技术之一。“在过去的几年中,架构得到了增强,以确保网站彼此隔离。巨大的努力使我们-仅-能够领先于攻击者。但是我们正在达到沙盒和网站隔离的极限。”
与内存管理相关的问题已经变得如此之大,以至于工程师现在正在使用Rule of 2编写代码。此规则表示工程师不能破坏以下三个规则中的两个:
-处理不当输入的代码
-用不安全的语言编写的代码(C / C ++)
-在没有沙箱的情况下运行的代码。
但是,使用2规则会阻止开发人员将功能交付给Chrome。
该公司通过“大规模修复错误类别,而不是仅仅包含它们”来解决此问题。它期望其新策略能够对C ++开发人员的体验带来重大改变。除此之外,Google还正在探索“一种为编译时安全检查而设计的编程语言,其对运行时性能的影响较小。”
标签:
猜你喜欢
- 今日消息 中证协:境外证券专业人才在天津等自由贸易试验区及成渝地区双城经济圈从业实施特别程序
- 今日消息 韩国一季度新增就业人口75.2万,超半数年逾六旬
- 今日消息 捷氢科技在广东成立新公司
- 今日消息 港股回港中概股拉升,知乎涨超7%
- 今日消息 两面针:上半年净亏2947.54万元
- 今日消息 天风证券:量升价增成本改善,啤酒行业发展可高看一线
- 今日消息 直真科技:上半年净亏损收窄至4272.38万元,研发支出近8000万元
- 今日消息 徕木股份:拟3000万元设立控股子公司建设绿色智造基地
- 今日消息 祥鑫科技:收到储能光伏相关客户的项目中标通知,预计项目交易额4.5亿元
- 今日消息 鼎信通讯:能量路由器边缘控制功能可极大减少虚拟电厂控制难度
最新文章
- 今日消息 Meta旗下VR平台Horizon副总裁将离职,主要负责元宇宙相关研发
- 今日消息 天津昨日全域核酸检测结果已出,共发现20例核酸阳性感染者
- 今日消息 甘肃8月27日新增无症状感染者21例
- 今日消息 美国外卖平台DoorDash发生数据泄露事件,部分客户和司机信息被读取
- 今日消息 山东德州新增本土无症状感染者4例
- 今日消息 陕西8月27日新增本土确诊13例、无症状感染者44例
- 今日消息 内蒙古8月27日新增本土确诊病例4例、无症状感染者3例
- 今日消息 捷克众议院批准芬兰和瑞典加入北约
- 今日消息 浙江8月27日新增本土阳性1例,为社区筛查发现
- 今日消息 俄罗斯将开始为匈牙利扩建核电站
- 今日消息 江西8月27日新增本土无症状感染者24例
- 今日消息 河南8月27日新增本土确诊2例、无症状52例
- 今日消息 广东8月27日新增本土确诊12例、无症状4例、无症状转确诊1例
- 今日消息 新疆维吾尔自治区8月27日新增本土确诊4例、无症状57例
- 今日消息 北京文化:2022上半年净亏损收窄至2516万,营业成本同比减少98.32%
- 今日消息 黑龙江8月27日新增本土确诊病例1例、无症状7例
- 今日消息 重庆8月27日新增本土确诊12例、无症状7例
- 今日消息 海南8月27日新增本土确诊70例、无症状125例
- 今日消息 北京8月27日新增2例本土确诊病例、1例本土无症状感染者
- 今日消息 山西8月27日新增本土确诊病例9例、无症状感染者2例
- 今日消息 内蒙古二连浩特新增阳性感染者5人,全域继续实行静默管理
- 今日消息 天津西青多地调整为高、中风险区,精武镇、李七庄街实施全域静态管理
- 今日消息 山东8月27日新增本土无症状感染者2例
- 今日消息 西藏日喀则8月27日新增本土新冠病毒感染者144例