Около 70 % серьёзных проблем с безо..

Около 70 % серьёзных проблем с безопасностью Chromium связаны с ошибками при обработке памяти

Разработчики, принимающие участие в проекте Chromium, осуществили анализ 912 критических и опасных уязвимостей, которые были обнаружены в браузере Chrome с 2015 года. В итоге они установили, что около 70 % брешей были обусловлены ошибками при обработке памяти.

okolo_70__sereznyh_problem_s_bezopasnostyu_chromium_svyazany_s_oshibkami_pri_obrabotke_pamyati_1.jpg

Примечательно, что 36,1 % уязвимостей связаны с ошибками обращения к буферу после освобождения памяти (use-after-free). Архитектура безопасности Chromium спроектирована таким образом, чтобы использовать sandbox-изоляцию для снижения ущерба, который может быть нанесён какой-либо уязвимостью. За последние годы эта архитектура была усовершенствована и фактически достигла предела своих возможностей, поэтому дробление на процессы становится нецелесообразным. Поскольку процесс является наименьшей единицей изоляции, такой подход приводит к чрезмерному использованию ресурсов устройств, особенно на Android.

Для обеспечения безопасности кодовой базы Chromium применяется так называемое правило двух , когда любой добавляемый код может соответствовать только двум из трёх условий: обработка непроверенных входных данных, использование небезопасного языка программирования и выполнение с высоким уровнем привилегий.

okolo_70__sereznyh_problem_s_bezopasnostyu_chromium_svyazany_s_oshibkami_pri_obrabotke_pamyati_2.png

В дальнейшем разработчики намерены запустить особый проект, направленный на предотвращение возникновения новых уязвимостей, связанных с обработкой памяти. Разработчики намерены сосредоточиться на создании библиотек C с функциями для безопасной работы с памятью. Кроме того, будут использоваться аппаратные механизмы защиты (Memory Tagging Extension), а также создаваться компоненты на языках, которые способны обеспечить безопасную работу с памятью, таких как Kotlin, Java, Swift и др.

Видео

Мобильные устройства

raskryty_osobennosti_akkumulyatora_xiaomi_mi10_pro_plus_default.jpg

Раскрыты особенности аккумулятора Xiaomi Mi10...

  • Авг 04, 2020
  • 448

Одной из самых ожидаемых новинок предстоящей презентации Xiaomi считается Mi10 Pro Plus. Аппарат интересен тем, что станет первой серийной моделью ком...

Накопители

obzor_i_testirovanie_nakopitelya_adata_swordfish_nvme_pcie_gen_3_4_na_500_gb_default.jpg

Обзор и тестирование накопителя ADATA Swordfi...

  • Июл 28, 2020
  • 109

Сегодня рассмотрим представителя новой линейки твердотельных накопителей Swordfish от компании ADATA – бюджетный вариант с интерфейсом NVMe PCIe Gen3x...

Наверх