
۷۰ درصد باگهای امنیتی کروم مربوط به مشکلات مدیریت حافظه میشود
ديجياتو
بروزرسانی


ديجياتو/ مهندسان گوگل اخيرا اعلام کردهاند که نزديک به ۷۰ درصد از باگهاي امنيتي جدي در کد پايه کروم مربوط به مديريت رم و باگهاي ايمني ميشود.
نيمي از اين ۷۰ درصد مربوط به آسيبپذيريهاي حافظه از نوع «Use After Free» ميشود، نوعي از مشکل امنيتي که توسط مديريت نادرست حافظه اشارهگر به وجود ميآيد و باعث ميشود هکرها از آنها براي حملات به اجزاي داخلي استفاده کنند. محققان گوگل براي دستيابي به اين نتيجه، ۹۱۲ باگ امنيتي که از سال ۲۰۱۵ تا به امروز رفع کردهاند را مورد بررسي قرار دادهاند که البته اين باگها در دسته خطرناک قرار داشتهاند.
آمار منتشر شده از سوي مهندسان گوگل با اطلاعات مايکروسافت يکسان است. مهندسان مايکروسافت در کنفرانس امنيتي خود در فوريه ۲۰۱۹ اعلام کردند که نزديک به ۷۰ درصد بروزرسانيهاي امنيتي براي محصولات مايکروسافت براي رفع آسيبپذيريهاي حافظه منتشر شدهاند.
مايکروسافت و گوگل با مشکل مشابهي دست و پنجه نرم ميکنند که مربوط به زبانهاي برنامهنويسي C و ++C ميشود. اين دو زبان امنيت بالايي نداشته و چندين دهه پيش توسعه پيدا کردهاند؛ زماني که حملات سايبري زيادي در جهان وجود نداشت، بنابراين مهندسان توجه چنداني به آنها نداشتند.
برنامهنويسان اين دو زبان ميتوانند به صورت کامل اشارهگر حافظه را کنترل کنند. اگر توسعهدهنده در مديريت حافظه اشتباهي مرتکب شود، C و ++C به وي هشدار نميدهد. اين موضوع باعث ميشود که توسط آسيبپذيريهاي مديريت رم بتوان به دستگاهها حمله کرد. بسياري از مهاجمان براي هدف قرار دادن قرباني خود از اين آسيبپذيريها استفاده ميکنند.
در سالهاي اخير مهندسان نرم افزار پيشرفت زيادي داشتهاند و توانستهاند بسياري از مشکلات امنيتي پايه را رفع کنند، اما هنوز راهحلهاي زيادي براي آسيبپذيريهاي مديريت حافظه وجود ندارد. گوگل اعلام کرده که از مارس ۲۰۱۹ تا به امروز، ۱۲۵ مورد از ۱۳۰ آسيبپذيري خطرناک کروم مربوط به حافظه آن بوده است.
باگهاي مديريت حافظه در حدي زيادي بوده که مهندسان کروم در گوگل مجبور شدهاند از «The Rule Of 2» استفاده کنند. بر اساس اين قانون، زماني که مهندسان ويژگي جديدي را براي کروم درنظر ميگيرند، کد آنها حداکثر ميتواند دو مورد از شرايط زير را داشته باشد:
کدهايي که وروديهاي غيرقابل اعتماد را پردازش ميکنند.
کدي که بدون «سندباکس» اجرا ميشود.
کدي که توسط زبانهاي برنامهنويسي ناامن مانند C و ++C نوشته ميشوند.
هر کدام از شرکتها به روشي قصد دارند با اين آسيبپذيريها مبارزه کنند که يکي از آنها، استفاده از زبان برنامهنويسي جديد است. «راست» يکي از ايمنترين زبانهاي برنامهنويسي محسوب ميشود که توسط تحقيقات «موزيلا» توسعه پيدا کرده است.