阿里云飞天发布时刻,领先大模型限免,超7000万 tokens免费体验 了解详情
写点什么

Google 也要放弃 C/C++?Chrome 代码库中 70% 的安全漏洞是内存问题

  • 2020-05-25
  • 本文字数:1588 字

    阅读完需:约 5 分钟

Google也要放弃C/C++?Chrome 代码库中70%的安全漏洞是内存问题

Google 工程师表示:目前 Chrome 代码库中所有严重的安全漏洞,70% 是内存管理的安全漏洞,其中 50% 的内存漏洞是 use-after-free 漏洞,因为对内存指针的错误管理,给予了攻击者攻击 Chrome 内部组件的机会。


近日,Google 工程师统计了 2015 年以来,Chrome 稳定分支中修复级别为"high" 或"critical" 的 912 个安全错误,结果发现约 70% 是内存安全漏洞。



事实上,不只是 Google,内存安全漏洞是很多科技公司都头疼的问题,微软工程师也曾公开表示:在过去 12 年中,微软产品的安全更新中,约有 70% 也是在解决内存安全漏洞。


为什么微软和 Google 的情况如此相似呢?因为它们代码库中使用的主要编程语言是 C 和 C++,由于 C 和 C++ 出现的时间较早,当时网络攻击还不是利用相关的威胁模型,大多数早期软件开发人员也没有考虑到相关的安全问题,所以 C 和 C++ 允许程序员完全控制管理应用程序的内存指针,出现基本的内存管理错误时,也没有相关的提示或者警告。

Chrome 的内存安全问题如何解决?

据了解,自 2019 年 3 月以来,在 130 个级别为 critical 的 Chrome 漏洞中,有 125 个是与内存相关的。这个数据也表明了,内存管理错误仍然是 Google 的一个大问题。



为了解决内存安全问题,Google 内部提出了一个 The Rule Of 2 原则,即为了保证安全性,程序员不能破坏两个以上的条件:


  • 不可靠的输入:主要来自两个方面,一是 non-trivial 的语法,例如常用的 and 和 or,二是不安全的来源;

  • 不安全的实现语言:即在编写程序时选择了缺乏内存安全性的语言,例如 C、C++、汇编语言等。目前内存安全的语言包括 Go、Rust、Python、Java、JavaScript、Kotlin 和 Swift 等。

  • 高特权:特权最高的程序是计算机固件,引导加载程序、内核、系统管理程序或虚拟机监视器等;其次是操作系统级别的账户运行进程;特权较低的进程包括 GPU 进程和网络进程等。


“沙箱”也是 Google 用来解决安全问题的常用方法,Google 工程师会将数十个流程隔离到自己的沙箱中,并利用刚推出的“Site Isolation”功能,将每个站点的资源也放到沙箱中。同时,考虑到性能问题,Google 采用了沙箱化 Chrome 组件的方法,并在积极探索新的方法。


Google 表示将开发自定义 C++ 库,与 Chrome 代码库配合使用,以便更好地处理与内存相关的错误。并且有计划,在可能的情况下探索使用“内存安全”的编程语言,目前的候选对象包括 Rust、Swift、JavaScript、Kotlin 和 Java。

放弃 C 和 C++ 可行吗?

无论是 Google 还是微软,出现内存问题的根源是使用了诸如 C 和 C++ 这类的“不安全”编程语言,那么放弃 C 和 C++ 可行吗?


对企业来说,重新选择一种编程语言不是一件容易的事情,因为这意味着需要重写大量的代码,需要重新培训员工,需要招聘拥有新技能的员工。所以,放弃 C 和 C++ 不是一件容易的事情。


如果是全新的项目,我们完全可以选择一个内存安全的编程语言,无需考虑重写代码的风险。不过,还是需要改进测试或部署基础架构来支持新的编程语言。ChromeOS 的 CrosVM 就是采用的这种方法。


如果是现有项目的新组件,我们也可以选择内存安全的编程,例如 Rust、Swift 等编程语言都可以与 C、C++ 代码库互操作。不过,刚开始的投入可能会比较大,因为需要集成到构建系统中,所以需要使用一种新的语言在两种语言之间传递对象和数据构建抽象。Firefox 的新组件 WebAuthn 就是使用的这种方法。


以上两种情况的特点都是新代码与原有代码有明显的界限,无需重写代码,我们可以在构建新项目或新组件之后,再逐步处理现有代码。那如果是界限不明显、无法放弃 C 和 C++ 的情况,我们又该怎么办呢?


  • 使用一些现代 C++ 习惯用法来生产更安全可靠的代码;

  • 使用 fuzzers 和 sanitizers 提前发现错误;

  • 使用 exploit mitigations 增加利用漏洞的难度;

  • 特权分离,这样即使利用了漏洞,受影响的半径也较小。


相关阅读:


https://www.chromium.org/Home/chromium-security/memory-safety


2020-05-25 17:0110872
用户头像

发布了 497 篇内容, 共 336.6 次阅读, 收获喜欢 1927 次。

关注

评论

发布
暂无评论
发现更多内容

Kafka消费者客户端心跳请求

石臻臻的杂货铺

Kafk 10月月更

前端必会手写题总结

helloworld1024fd

JavaScript

推荐|海泰信创浏览器安全解决方案 全面适配安全可靠

电子信息发烧客

【LeetCode】可能的二分法Java题解

Albert

算法 LeetCode 10月月更

年度大促将至,企业如何进行性能压测

阿里巴巴云原生

阿里云 云原生 性能压测 PTS

自定义注解判断参数为空

派大星

Gartner 权威解读: SBOM 采用率将于2025年达到60%

SEAL安全

DevSecOps Gartner SBOM 软件供应链安全

推荐|海泰政务移动办公系统密码应用解决方案 打造移动办公安全

电子信息发烧客

CentOS下搭建Gitea-自己的git服务器

麦洛

git Gitea

欧美开源法案频出,你准备好了吗?

安势信息

出海 #开源 SBOM 软件供应链安全 开源合规

5个技巧让CIO最大化提升IT项目投资回报率

雨果

CIO ROI

保10万涨薪、保Offer、保大厂,1V1私教服务上线啦!

霍格沃兹测试开发学社

解React框架核心原理

夏天的味道123

React

如何将 SAP Business Application Studio 里开发的 Java 应用部署到 SAP BTP 上

汪子熙

云原生 Cloud 云平台 SAP 10月月更

如何掌握“看见数据”的魔力?

博文视点Broadview

JS继承有哪些,你能否手写其中一两种呢?

helloworld1024fd

JavaScript

长安链源码分析之网络模块 net-liquid(3)

安势清源SCA助力超大规模高科技企业加速开源风险治理

安势信息

开源 腾讯 SCA SBOM 软件供应链安全

【一Go到底】第十七天---函数的递归调用

指剑

Go golang 10月月更

浙江特殊教育职业学院用上了福昕无障碍技术

科技热闻

js函数柯里化-面试手写版

helloworld1024fd

JavaScript

保10万涨薪、保Offer、保大厂,1V1私教服务上线啦!

测吧(北京)科技有限公司

测试

【荣耀云调试FAQ】一个帐号可以同时使用多部手机吗?

荣耀开发者服务平台

开发者 手机 安卓 荣耀 honor

哪些数据类岗位不容易失业?

雨果

开发数据 数据科学 数据工程师

企业云安全的6个最佳实践

HummerCloud

10月月更

STM32 HAL库串口同时收发,接收卡死?

矜辰所致

串口 STM32L051 10月月更

利器| Cypress 强大全新的 Web UI 测试框架应用尝鲜

霍格沃兹测试开发学社

人人能读懂redux原理剖析

夏天的味道123

React

Kafka消费组/者协调器的介绍

石臻臻的杂货铺

Kafk 10月月更

redis实现分布式锁(一)

zarmnosaj

10月月更

redis实现分布式锁(二)

zarmnosaj

10月月更

Google也要放弃C/C++?Chrome 代码库中70%的安全漏洞是内存问题_语言 & 开发_田晓旭_InfoQ精选文章