۷۰ درصد باگ‌های امنیتی کروم مربوط به مشکلات مدیریت حافظه می‌شود

ديجياتو

بروزرسانی 1399/03/03 - 23:15

۷۰ درصد باگ‌های امنیتی کروم مربوط به مشکلات مدیریت حافظه می‌شود

ديجياتو/ مهندسان گوگل اخيرا اعلام کرده‌اند که نزديک به ۷۰ درصد از باگ‌هاي امنيتي جدي در کد پايه کروم مربوط به مديريت رم و باگ‌هاي ايمني مي‌شود. نيمي از اين ۷۰ درصد مربوط به آسيب‌پذيري‌هاي حافظه از نوع «Use After Free» مي‌شود، نوعي از مشکل امنيتي که توسط مديريت نادرست حافظه اشاره‌گر به وجود مي‌آيد و باعث مي‌شود هکرها از آن‌ها براي حملات به اجزاي داخلي استفاده کنند. محققان گوگل براي دستيابي به اين نتيجه، ۹۱۲ باگ امنيتي که از سال ۲۰۱۵ تا به امروز رفع کرده‌اند را مورد بررسي قرار داده‌اند که البته اين باگ‌ها در دسته خطرناک قرار داشته‌اند. آمار منتشر شده از سوي مهندسان گوگل با اطلاعات مايکروسافت يکسان است. مهندسان مايکروسافت در کنفرانس امنيتي خود در فوريه ۲۰۱۹ اعلام کردند که نزديک به ۷۰ درصد بروزرساني‌هاي امنيتي براي محصولات مايکروسافت براي رفع آسيب‌پذيري‌هاي حافظه منتشر شده‌اند. مايکروسافت و گوگل با مشکل مشابهي دست و پنجه نرم مي‌کنند که مربوط به زبان‌هاي برنامه‌نويسي C و ++C مي‌شود. اين دو زبان امنيت بالايي نداشته و چندين دهه پيش توسعه پيدا کرده‌اند؛ زماني که حملات سايبري زيادي در جهان وجود نداشت، بنابراين مهندسان توجه چنداني به آن‌ها نداشتند. برنامه‌نويسان اين دو زبان مي‌توانند به صورت کامل اشاره‌گر حافظه را کنترل کنند. اگر توسعه‌دهنده در مديريت حافظه اشتباهي مرتکب شود، C و ++C به وي هشدار نمي‌دهد. اين موضوع باعث مي‌شود که توسط آسيب‌پذيري‌هاي مديريت رم بتوان به دستگاه‌ها حمله کرد. بسياري از مهاجمان براي هدف قرار دادن قرباني خود از اين آسيب‌پذيري‌ها استفاده مي‌کنند. در سال‌هاي اخير مهندسان نرم افزار پيشرفت زيادي داشته‌اند و توانسته‌اند بسياري از مشکلات امنيتي پايه را رفع کنند، اما هنوز راه‌حل‌هاي زيادي براي آسيب‌پذيري‌هاي مديريت حافظه وجود ندارد. گوگل اعلام کرده که از مارس ۲۰۱۹ تا به امروز، ۱۲۵ مورد از ۱۳۰ آسيب‌پذيري خطرناک کروم مربوط به حافظه آن بوده است. باگ‌هاي مديريت حافظه در حدي زيادي بوده که مهندسان کروم در گوگل مجبور شده‌اند از «The Rule Of 2» استفاده کنند. بر اساس اين قانون، زماني که مهندسان ويژگي جديدي را براي کروم درنظر مي‌گيرند، کد آنها حداکثر مي‌تواند دو مورد از شرايط زير را داشته باشد: کدهايي که ورودي‌هاي غيرقابل اعتماد را پردازش مي‌کنند. کدي که بدون «سندباکس» اجرا مي‌شود. کدي که توسط زبان‌هاي برنامه‌نويسي ناامن مانند C و ++C نوشته مي‌شوند. هر کدام از شرکت‌ها به روشي قصد دارند با اين آسيب‌پذيري‌ها مبارزه کنند که يکي از آن‌ها، استفاده از زبان برنامه‌نويسي جديد است. «راست» يکي از ايمن‌ترين زبان‌هاي برنامه‌نويسي محسوب مي‌شود که توسط تحقيقات «موزيلا» توسعه پيدا کرده است.