Chrome to najpopularniejsza przeglądarka, zarówno na pecety jak i na telefony. Jednak od kilku miesięcy, ma ona poważną konkurencję w postaci Microsoft Edge. Program już zajął drugą lokatę w rankingu popularności przeglądarek, ale niestety póki co ze słabym wynikiem. Jednak Chrome powinien mieć się na baczności. Kilka dni temu pojawił się kolejny argument za tym, aby korzystać np. z Firefox, a nie Chrome. Chodzi o bugi bezpieczeństwa.
Luki bezpieczeństwa w Chrome
Około 70% wszystkich poważnych błędów bezpieczeństwa w bazie kodów Chrome to błędy w zarządzaniu pamięcią i bezpieczeństwie. Tak stwierdzili inżynierowie Google.
Połowa z 70% to luki „w zabezpieczeniach po użyciu”, które są rodzajem problemu bezpieczeństwa wynikającego z nieprawidłowego zarządzania wskaźnikami pamięci (adresami), pozostawiając napastnikom otwarte drzwi do atakowania wewnętrznych komponentów Chrome.
Odsetek ten został opracowany po tym, jak inżynierowie Google przeanalizowali 912 błędów bezpieczeństwa naprawionych w stabilnej gałęzi Chrome od 2015 r., które miały „wysoki” lub „krytyczny” wskaźnik ważności.
Liczba jest identyczna ze statystykami udostępnianymi przez Microsoft. Przemawiając na konferencji poświęconej bezpieczeństwu w lutym 2019 r., inżynierowie Microsoft powiedzieli, że w ciągu ostatnich 12 lat około 70% wszystkich aktualizacji zabezpieczeń produktów Microsoft dotyczyło luk w zabezpieczeniach pamięci.
Zobacz także: 120 Hz i oszczędzanie energii – czy da się to pogodzić?
Potrzebne poprawki
Podstawową kwestią jest to, że C i C++ to starsze języki programowania, które nie uwzględniają możliwości cyberataków. Pozwalają programistom na pełną kontrolę nad zarządzaniem wskaźnikami pamięci i nie ostrzegają ich automatycznie o potencjalnych błędach zarządzania pamięcią na etapie programowania. Dlatego te błędy w zarządzaniu pamięcią są osadzone w aplikacjach Chrome i Microsoft.
Niedociągnięcia w zarządzaniu pamięcią to jedne z pierwszych rzeczy, których potencjalni napastnicy szukają, ponieważ mogą po prostu osadzić swój złośliwy kod w pamięci urządzenia, a następnie poczekać na wykonanie go przez własne aplikacje ofiary.
Błędy zarządzania pamięcią stały się takim problemem, że inżynierowie Google są teraz zobowiązani do przestrzegania „Reguły 2” podczas pisania nowego programu Chrome. Zgodnie z tą normą kod nowej funkcji nie może naruszać więcej niż dwóch z następujących warunków:
- Kod obsługuje niewiarygodne dane wejściowe,
- Kod działa bez piaskownicy,
- Kod jest napisany w niebezpiecznym języku programowania (C / C++).
Podczas gdy firmy produkujące oprogramowanie próbowały wcześniej rozwiązać problemy z zarządzaniem pamięcią w C i C++, Mozilla dokonała przełomu, sponsorując, promując i mocno adoptując język programowania Rust w Firefoksie.
Dzisiaj Rust jest uważany za jeden z najbezpieczniejszych języków programowania i jest idealnym zamiennikiem C i C++, przede wszystkim ze względu na wczesne starania Mozilli.
Ale Mozilla nie jest jedyną organizacją, która ma dość radzenia sobie z podatnym na błędy kodem C i C++. Microsoft intensywnie inwestuje również w badanie alternatyw C i C++. Od wczesnego projektu Checked C firma eksperymentuje teraz z Rustem, a także buduje swój własny „bezpieczny” język programowania podobny do Rust (część tajnego projektu Verona).
Podczas konferencji wirtualnej Build w tym tygodniu, przedstawiciele Microsoftu powiedzieli, że te dwa wysiłki zakończyły się sukcesem, a firma ponownie poświęciła się wdrażaniu bezpiecznego języka programowania w przyszłości.
Ale w tym tygodniu Google ogłosiło również podobne plany. Firma poinformowała, że planuje także „rozwiązać problem braku bezpieczeństwa pamięci” w Chrome, najpopularniejszej obecnie przeglądarce internetowej, z której korzysta prawie 70% użytkowników Internetu.
Źródło: techradar, zdnet