站长之家(ChinaZ.com) 5月25日 消息:Chromium项目日前对外宣布,大约70%的严重安全漏洞是内存安全问题,其下一个主要项目计划是从源头上防止这些漏洞。
这一数据是谷歌工程师分析了自 2015 年以来在Chrome中修复的 912 个安全漏洞后得出的,这些漏洞的严重性评级为“高危”或“严重”。
值得一提的是,在 2019 年 2 月的一次安全会议上,微软工程师说,在过去的 12 年里,微软产品中大约70%的安全更新都是针对内存安全漏洞。说明这两家公司基本上都在处理同样的问题,即C和c++这两种主要的编程语言在它们的代码库中是“不安全的”语言。
谷歌表示,自 2019 年 3 月以来,在 130 个级别为“严重”的Chrome漏洞中,有 125 个是与内存破坏相关的问题。这表明,尽管在修复其他bug类方面取得了进展,但内存管理仍然是一个问题。
这70%的漏洞中有一半是由于错误地管理内存指针(地址)管理不当产生的安全问题,为攻击者攻击Chrome内部组件打开了大门。
在软件公司尝试修复C和c++的内存管理问题时,Mozilla已经通过赞助、推广和大量采用Firefox中的Rust编程语言取得了突破。微软也在大力投资探索C和c++的替代方案,谷歌也宣布了类似的计划。
谷歌表示,它计划开发定制的c++库,与Chrome的代码库一起使用,这些库可以更好地保护内存相关的bug。
谷歌还表示,它计划在可能的情况下探索使用“安全”语言。候选包括Rust、Swift、JavaScript、Kotlin和Java。
