立即领取|华润集团、宁德核电、东风岚图等 20+ 标杆企业数字化人才培养实践案例 了解详情
写点什么

Google 也要放弃 C/C++?Chrome 代码库中 70% 的安全漏洞是内存问题

  • 2020-05-25
  • 本文字数:1588 字

    阅读完需:约 5 分钟

Google也要放弃C/C++?Chrome 代码库中70%的安全漏洞是内存问题

Google 工程师表示:目前 Chrome 代码库中所有严重的安全漏洞,70% 是内存管理的安全漏洞,其中 50% 的内存漏洞是 use-after-free 漏洞,因为对内存指针的错误管理,给予了攻击者攻击 Chrome 内部组件的机会。


近日,Google 工程师统计了 2015 年以来,Chrome 稳定分支中修复级别为"high" 或"critical" 的 912 个安全错误,结果发现约 70% 是内存安全漏洞。



事实上,不只是 Google,内存安全漏洞是很多科技公司都头疼的问题,微软工程师也曾公开表示:在过去 12 年中,微软产品的安全更新中,约有 70% 也是在解决内存安全漏洞。


为什么微软和 Google 的情况如此相似呢?因为它们代码库中使用的主要编程语言是 C 和 C++,由于 C 和 C++ 出现的时间较早,当时网络攻击还不是利用相关的威胁模型,大多数早期软件开发人员也没有考虑到相关的安全问题,所以 C 和 C++ 允许程序员完全控制管理应用程序的内存指针,出现基本的内存管理错误时,也没有相关的提示或者警告。

Chrome 的内存安全问题如何解决?

据了解,自 2019 年 3 月以来,在 130 个级别为 critical 的 Chrome 漏洞中,有 125 个是与内存相关的。这个数据也表明了,内存管理错误仍然是 Google 的一个大问题。



为了解决内存安全问题,Google 内部提出了一个 The Rule Of 2 原则,即为了保证安全性,程序员不能破坏两个以上的条件:


  • 不可靠的输入:主要来自两个方面,一是 non-trivial 的语法,例如常用的 and 和 or,二是不安全的来源;

  • 不安全的实现语言:即在编写程序时选择了缺乏内存安全性的语言,例如 C、C++、汇编语言等。目前内存安全的语言包括 Go、Rust、Python、Java、JavaScript、Kotlin 和 Swift 等。

  • 高特权:特权最高的程序是计算机固件,引导加载程序、内核、系统管理程序或虚拟机监视器等;其次是操作系统级别的账户运行进程;特权较低的进程包括 GPU 进程和网络进程等。


“沙箱”也是 Google 用来解决安全问题的常用方法,Google 工程师会将数十个流程隔离到自己的沙箱中,并利用刚推出的“Site Isolation”功能,将每个站点的资源也放到沙箱中。同时,考虑到性能问题,Google 采用了沙箱化 Chrome 组件的方法,并在积极探索新的方法。


Google 表示将开发自定义 C++ 库,与 Chrome 代码库配合使用,以便更好地处理与内存相关的错误。并且有计划,在可能的情况下探索使用“内存安全”的编程语言,目前的候选对象包括 Rust、Swift、JavaScript、Kotlin 和 Java。

放弃 C 和 C++ 可行吗?

无论是 Google 还是微软,出现内存问题的根源是使用了诸如 C 和 C++ 这类的“不安全”编程语言,那么放弃 C 和 C++ 可行吗?


对企业来说,重新选择一种编程语言不是一件容易的事情,因为这意味着需要重写大量的代码,需要重新培训员工,需要招聘拥有新技能的员工。所以,放弃 C 和 C++ 不是一件容易的事情。


如果是全新的项目,我们完全可以选择一个内存安全的编程语言,无需考虑重写代码的风险。不过,还是需要改进测试或部署基础架构来支持新的编程语言。ChromeOS 的 CrosVM 就是采用的这种方法。


如果是现有项目的新组件,我们也可以选择内存安全的编程,例如 Rust、Swift 等编程语言都可以与 C、C++ 代码库互操作。不过,刚开始的投入可能会比较大,因为需要集成到构建系统中,所以需要使用一种新的语言在两种语言之间传递对象和数据构建抽象。Firefox 的新组件 WebAuthn 就是使用的这种方法。


以上两种情况的特点都是新代码与原有代码有明显的界限,无需重写代码,我们可以在构建新项目或新组件之后,再逐步处理现有代码。那如果是界限不明显、无法放弃 C 和 C++ 的情况,我们又该怎么办呢?


  • 使用一些现代 C++ 习惯用法来生产更安全可靠的代码;

  • 使用 fuzzers 和 sanitizers 提前发现错误;

  • 使用 exploit mitigations 增加利用漏洞的难度;

  • 特权分离,这样即使利用了漏洞,受影响的半径也较小。


相关阅读:


https://www.chromium.org/Home/chromium-security/memory-safety


2020-05-25 17:0110376
用户头像

发布了 497 篇内容, 共 322.0 次阅读, 收获喜欢 1919 次。

关注

评论

发布
暂无评论
发现更多内容

https 握手失败问题排查全记录

程序员与厨子

nginx https 网络 HTTP 抓包

GrowingIO 响应式编程探索和实践

GrowingIO技术专栏

响应式编程

【涂鸦物联网足迹】物联网主流通信方式

IoT云工坊

人工智能 云计算 大数据 物联网 云平台

8张图带你分析Redis与MySQL数据一致性问题

Java架构师迁哥

区块链将颠覆和改变传统金融业底层逻辑

CECBC

区块链 数字经济

屏读时代,我们患上了注意力缺失候群症

脑极体

解决大中型浏览器(Chrome)插件开发痛点:自定义热更新方案——1.原理分析及构建部署实现

梁龙先森

Java chrome 大前端 浏览器 技术方案

【涂鸦物联网足迹】涂鸦云平台全景介绍

IoT云工坊

人工智能 云计算 大数据 物联网平台 物联网

架构师训练营 - 第三周学习总结

joshuamai

第三周作业

丁乐洪

WSL还是不错的

孙苏勇

WSL2 工具链 wsl

科学家联合提出基于区块链的追溯框架

CECBC

区块链 农业

GitHub上超牛的Java进阶教程,汇总Java生态圈常用技术框架、开源中间件,系统架构、数据库、大公司架构案例、常用三方类库、项目管理、线上问题排查、个人成长、思考等知识

Java架构之路

Java 程序员 架构 面试 编程语言

从广西的新基建耕种,读懂一颗名为智能体的种子

脑极体

1分钟带你解锁Angular

Leo

学习 大前端 angular

架构师训练营 - 第三周课后练习

joshuamai

week3 代码重构 -作业一

杨斌

week3 代码重构 学习总结

杨斌

架构师训练营 - 第 7 周课后作业(1 期)

阿甘

Week 7 作业一

黄立

极客大学 - 架构师训练营 第七周作业

9527

一道比较运算符相关的面试题把我虐的体无完肤

Gopher指北

手把手教你如何在Windows安装Anaconda

计算机与AI

Python Anaconda

在Idea中使用JUnit单元测试

jiangling500

单元测试 IDEA JUnit

穿越时空的回响:华为欧洲创新日的蝴蝶振翅

脑极体

区块链追溯系统迎来新突破

CECBC

区块链 溯源 产品溯源

架构师训练营 第三周作业(手写单例模式)

springH₂O

架构训练营

架構師訓練營第 1 期 - 第 07 周總結

Panda

架構師訓練營第 1 期

Week 7 性能优化总结

黄立

一周信创舆情观察(10.26~11.1)

统小信uos

6年Java开发经验,蚂蚁金服面试3+2次,最终有惊无险通过!(已拿offer)

Java架构之路

Java 程序员 架构 面试 编程语言

Google也要放弃C/C++?Chrome 代码库中70%的安全漏洞是内存问题_语言 & 开发_田晓旭_InfoQ精选文章