گوگل: 70 درصد باگ هاي امنيتي كروم مربوط به مشكلات مديريت حافظه مي شود

مهندسان گوگل اخيرا اعلام كرده اند كه نزديك به 70 درصد از باگ هاي امنيتي جدي در كد پايه كروم مربوط به مديريت رم و باگ هاي ايمني مي شود. نيمي از اين 70 درصد مربوط به آسيب پذيري هاي حافظه از نوع «Use After Free» مي شود، نوعي از مشكل امنيتي كه توسط مديريت نادرست حافظه اشاره گر به وجود مي آيد و باعث مي شود هكرها از آن ها براي حملات به اجزاي داخلي استفاده كنند. محققان گوگل براي دستيابي به اين نتيجه، 912 باگ امنيتي كه از سال 2015 تا به امروز رفع كرده اند را مورد بررسي قرار داده اند كه البته اين باگ ها در دسته خطرناك قرار داشته اند. آمار منتشر شده از سوي مهندسان گوگل با اطلاعات مايكروسافت يكسان است. مهندسان مايكروسافت در كنفرانس امنيتي خود در فوريه 2019 اعلام كردند كه نزديك به 70 درصد بروزرساني هاي امنيتي براي محصولات مايكروسافت براي رفع آسيب پذيري هاي حافظه منتشر شده اند. مايكروسافت و گوگل با مشكل مشابهي دست و پنجه نرم مي كنند كه مربوط به زبان هاي برنامه نويسي C و ++C مي شود. اين دو زبان امنيت بالايي نداشته و چندين دهه پيش توسعه پيدا كرده اند؛ زماني كه حملات سايبري زيادي در جهان وجود نداشت، بنابراين مهندسان توجه چنداني به آن ها نداشتند. كروم برنامه نويسان اين دو زبان مي توانند به صورت كامل اشاره گر حافظه را كنترل كنند. اگر توسعه دهنده در مديريت حافظه اشتباهي مرتكب شود، C و ++C به وي هشدار نمي دهد. اين موضوع باعث مي شود كه توسط آسيب پذيري هاي مديريت رم بتوان به دستگاه ها حمله كرد. بسياري از مهاجمان براي هدف قرار دادن قرباني خود از اين آسيب پذيري ها استفاده مي كنند. در سال هاي اخير مهندسان نرم افزار پيشرفت زيادي داشته اند و توانسته اند بسياري از مشكلات امنيتي پايه را رفع كنند، اما هنوز راه حل هاي زيادي براي آسيب پذيري هاي مديريت حافظه وجود ندارد. گوگل اعلام كرده كه از مارس 2019 تا به امروز، 125 مورد از 130 آسيب پذيري خطرناك كروم مربوط به حافظه آن بوده است. باگ هاي مديريت حافظه در حدي زيادي بوده كه مهندسان كروم در گوگل مجبور شده اند از «The Rule Of 2» استفاده كنند. بر اساس اين قانون، زماني كه مهندسان ويژگي جديدي را براي كروم درنظر مي گيرند، كد آنها حداكثر مي تواند دو مورد از شرايط زير را داشته باشد: - كدهايي كه ورودي هاي غيرقابل اعتماد را پردازش مي كنند. - كدي كه بدون «سندباكس» اجرا مي شود. - كدي كه توسط زبان هاي برنامه نويسي ناامن مانند C و ++C نوشته مي شوند.هر كدام از شركت ها به روشي قصد دارند با اين آسيب پذيري ها مبارزه كنند كه يكي از آن ها، استفاده از زبان برنامه نويسي جديد است. «راست» يكي از ايمن ترين زبان هاي برنامه نويسي محسوب مي شود كه توسط تحقيقات «موزيلا» توسعه پيدا كرده است.