科技资讯：内存管理对于Chrome和其他浏览器仍然存在安全风险

文章插图
【科技资讯：内存管理对于Chrome和其他浏览器仍然存在安全风险】Chrome和其他浏览器中多达70%的安全风险是由内存管理问题引起的。根据最近的一份报告，该报告汇集了Microsoft和Google共享的详细信息和统计信息。虽然潜在的问题有所不同，从古怪的编程语言的古怪代码到编写得不好的代码不等，但使用后使用的漏洞占了一半。
这是两家公司的工程师都希望解决的难题。
浏览器中的内存管理安全风险到底是什么?
如上所述，此处的数据基于两个单独的报告。Google方面分析了自2015年以来已修复的912个具有高或严重严重性等级的安全漏洞。微软检查了12年的安全漏洞。但是它们都取决于相同类型的安全性问题。也就是说，这就是上面提到的“先用后用”漏洞。而且还包括缓冲区溢出，竞争条件，双精度释放，野生指针等。
对于Google而言，特别需要关注三个方面。这些是处理不可信输入或无需沙箱运行的代码。沙盒可以有效地将网站或应用程序的代码与其他代码隔离开。这是不安全编程语言的补充。
实际上，这家搜索巨头目前正在执行“ 2规则” 。该规则要求编写新的Chrome功能时，不得提出其中两个以上的问题要点。
无论如何，这些几乎是所有浏览器(不仅仅是Chrome)的通用内存安全问题。
现在，从Chrome到Firefox，目前每个浏览器巨头的主要关注点就是使用不安全的语言。Google Chrome和其他浏览器已经非常重视与网站隔离有关的解决方案。实际上，至少从2018 年开始，Google就一直在以某种形式积极地将网站隔离纳入 Chrome 。由于浏览器非常依赖用户和其他来源的输入，因此可能会留下不可信的输入。
站点隔离在解决该问题上已经走了很长一段路，但是，正如Google所说，这已经达到了最大的收益。该领域的更多工作可能会严重影响性能。
尽管找到更安全的编程语言是一种无处不在的解决方案，但是，并非每个公司都采用相同的方法。
有什么解决方案?
例如，Mozilla已在这方面带头努力。但是它在Rust编程语言的探索和开发上投入了大量资金。微软也在探索Rust的使用。但是它的努力，尤其是现在Edge是基于Chromium的，远远超出了它。该公司还通过其Checked C项目检查了修复不安全语言的方法。并且它通过Project Verona构建了自己的编程语言，类似于Rust 。
对于Google而言，该方法也分为三方面。这家搜索巨头表示，它正在考虑开发自定义C ++库。Google会使用Chrome数据库中的密码，并提供更好的保护以防止普遍存在的漏洞。它还在探索Rust，Swift，JavaScript，Kotlin和Java作为可能的替代品。该公司至少在2017年就开始对Kotlin进行探索，当时Kotlin正式向Android添加了对该语言的支持。
在更新颖的解决方案中，谷歌正在探索一种可能性，特别是无偿使用漏洞可以简单地转变为安全崩溃。通过这样做，Google可以有效利用漏洞加以关闭。但是对性能的影响却很小。