Google cherche des moyens autres que le sandboxing pour résoudre les bogues persistants de la mémoire Chrome. Le problème auquel l'équipe Chromium s'attaque a quelque chose à voir avec la gestion libérale de la mémoire dans les langages de programmation comme C ++ et C.
Ces outils donnent aux développeurs beaucoup de moyens lorsqu'ils travaillent avec des pointeurs et l'initialisation de la mémoire. Une telle architecture améliore les performances des applications, mais les mauvais acteurs en profitent.
La résolution des bogues de mémoire Chrome nécessite plus que du sandboxing
Un rapport de l'équipe Chromium a révélé que 70% des bogues Chrome de haute gravité sont le résultat d'exploits de mémoire C ++ et C.
En outre, l'étude a révélé que 36,1% des insectes étaient de la variété à usage après libre. Ces types de bogues impliquent des tentatives d'accès à la mémoire système uniquement après sa libération.
Le résultat d'une telle violation peut aller de la panne du système à l'exécution de code arbitraire. Certains pirates déploient des bogues d'utilisation après la libération pour effectuer des attaques d'exécution de code à distance (RCE).
Tout comme de nombreux autres géants du logiciel, Google utilise le sandboxing pour gérer les problèmes de sécurité de Chrome.
Mais la société affirme que les menaces de sécurité avancées ont poussé à l'extrême les capacités de sandboxing. Habituellement, la technique empêche le code arbitraire de s'exécuter en dehors d'un environnement spécifique.
Ainsi, si un attaquant réussit à enfreindre la sécurité de Chrome, il ne devrait pas être en mesure de déplacer son code vers d'autres environnements, tels que le PC de l'utilisateur..
Mais le sandboxing ou l'isolement de site est une technique à forte intensité de processus. En tant que tel, il peut compromettre les performances globales du système.
Dans tous les cas, l'approche traite du code malveillant déjà livré.
Google cherche donc des moyens de résoudre les bogues de mémoire de Chrome au point d'origine.
Nous nous attaquons au problème d'insécurité de la mémoire - en corrigeant des classes de bogues à grande échelle, plutôt que de simplement les contenir - par tous les moyens nécessaires.
Le projet Chromium recherche maintenant des solutions dans des endroits tels que les bibliothèques C ++ personnalisées, les atténuations matérielles, ainsi que l'utilisation de langages plus sûrs.
Cependant, Google n'est pas la seule entreprise à rechercher des moyens plus efficaces pour éliminer les bogues de mémoire.
Microsoft, par exemple, travaille actuellement pour résoudre les vulnérabilités d'initialisation de la mémoire dans les applications C ++.
Contactez-nous pour toute suggestion ou question en laissant un message dans la section commentaires ci-dessous.
- La cyber-sécurité