谷歌Chromium项目发现其70%的严重安全漏洞为内存安全问题

登录注册

摘要： 5月25日消息:Chromium项目日前对外宣布，大约70%的严重安全漏洞是内存安全问题，其下一个主要项目计划是从源头上防止这些漏洞。这一数据是谷歌工程师分析了自 2015 年以来在C

5月25日消息:Chromium项目日前对外宣布，大约70%的严重安全漏洞是内存安全问题，其下一个主要项目计划是从源头上防止这些漏洞。

这一数据是谷歌工程师分析了自 2015 年以来在Chrome中修复的 912 个安全漏洞后得出的，这些漏洞的严重性评级为“高危”或“严重”。

值得一提的是，在 2019 年 2 月的一次安全会议上，微软工程师说，在过去的 12 年里，微软产品中大约70%的安全更新都是针对内存安全漏洞。说明这两家公司基本上都在处理同样的问题，即C和c++这两种主要的编程语言在它们的代码库中是“不安全的”语言。

谷歌表示，自 2019 年 3 月以来，在 130 个级别为“严重”的Chrome漏洞中，有 125 个是与内存破坏相关的问题。这表明，尽管在修复其他bug类方面取得了进展，但内存管理仍然是一个问题。

这70%的漏洞中有一半是由于错误地管理内存指针(地址)管理不当产生的安全问题，为攻击者攻击Chrome内部组件打开了大门。

在软件公司尝试修复C和c++的内存管理问题时，Mozilla已经通过赞助、推广和大量采用Firefox中的Rust编程语言取得了突破。微软也在大力投资探索C和c++的替代方案，谷歌也宣布了类似的计划。

谷歌表示，它计划开发定制的c++库，与Chrome的代码库一起使用，这些库可以更好地保护内存相关的bug。

谷歌还表示，它计划在可能的情况下探索使用“安全”语言。候选包括Rust、Swift、JavaScript、Kotlin和Java。