写点什么

Google 也要放弃 C/C++?Chrome 代码库中 70% 的安全漏洞是内存问题

  • 2020-05-25
  • 本文字数:1588 字

    阅读完需:约 5 分钟

Google也要放弃C/C++?Chrome 代码库中70%的安全漏洞是内存问题

Google 工程师表示:目前 Chrome 代码库中所有严重的安全漏洞,70% 是内存管理的安全漏洞,其中 50% 的内存漏洞是 use-after-free 漏洞,因为对内存指针的错误管理,给予了攻击者攻击 Chrome 内部组件的机会。


近日,Google 工程师统计了 2015 年以来,Chrome 稳定分支中修复级别为"high" 或"critical" 的 912 个安全错误,结果发现约 70% 是内存安全漏洞。



事实上,不只是 Google,内存安全漏洞是很多科技公司都头疼的问题,微软工程师也曾公开表示:在过去 12 年中,微软产品的安全更新中,约有 70% 也是在解决内存安全漏洞。


为什么微软和 Google 的情况如此相似呢?因为它们代码库中使用的主要编程语言是 C 和 C++,由于 C 和 C++ 出现的时间较早,当时网络攻击还不是利用相关的威胁模型,大多数早期软件开发人员也没有考虑到相关的安全问题,所以 C 和 C++ 允许程序员完全控制管理应用程序的内存指针,出现基本的内存管理错误时,也没有相关的提示或者警告。

Chrome 的内存安全问题如何解决?

据了解,自 2019 年 3 月以来,在 130 个级别为 critical 的 Chrome 漏洞中,有 125 个是与内存相关的。这个数据也表明了,内存管理错误仍然是 Google 的一个大问题。



为了解决内存安全问题,Google 内部提出了一个 The Rule Of 2 原则,即为了保证安全性,程序员不能破坏两个以上的条件:


  • 不可靠的输入:主要来自两个方面,一是 non-trivial 的语法,例如常用的 and 和 or,二是不安全的来源;

  • 不安全的实现语言:即在编写程序时选择了缺乏内存安全性的语言,例如 C、C++、汇编语言等。目前内存安全的语言包括 Go、Rust、Python、Java、JavaScript、Kotlin 和 Swift 等。

  • 高特权:特权最高的程序是计算机固件,引导加载程序、内核、系统管理程序或虚拟机监视器等;其次是操作系统级别的账户运行进程;特权较低的进程包括 GPU 进程和网络进程等。


“沙箱”也是 Google 用来解决安全问题的常用方法,Google 工程师会将数十个流程隔离到自己的沙箱中,并利用刚推出的“Site Isolation”功能,将每个站点的资源也放到沙箱中。同时,考虑到性能问题,Google 采用了沙箱化 Chrome 组件的方法,并在积极探索新的方法。


Google 表示将开发自定义 C++ 库,与 Chrome 代码库配合使用,以便更好地处理与内存相关的错误。并且有计划,在可能的情况下探索使用“内存安全”的编程语言,目前的候选对象包括 Rust、Swift、JavaScript、Kotlin 和 Java。

放弃 C 和 C++ 可行吗?

无论是 Google 还是微软,出现内存问题的根源是使用了诸如 C 和 C++ 这类的“不安全”编程语言,那么放弃 C 和 C++ 可行吗?


对企业来说,重新选择一种编程语言不是一件容易的事情,因为这意味着需要重写大量的代码,需要重新培训员工,需要招聘拥有新技能的员工。所以,放弃 C 和 C++ 不是一件容易的事情。


如果是全新的项目,我们完全可以选择一个内存安全的编程语言,无需考虑重写代码的风险。不过,还是需要改进测试或部署基础架构来支持新的编程语言。ChromeOS 的 CrosVM 就是采用的这种方法。


如果是现有项目的新组件,我们也可以选择内存安全的编程,例如 Rust、Swift 等编程语言都可以与 C、C++ 代码库互操作。不过,刚开始的投入可能会比较大,因为需要集成到构建系统中,所以需要使用一种新的语言在两种语言之间传递对象和数据构建抽象。Firefox 的新组件 WebAuthn 就是使用的这种方法。


以上两种情况的特点都是新代码与原有代码有明显的界限,无需重写代码,我们可以在构建新项目或新组件之后,再逐步处理现有代码。那如果是界限不明显、无法放弃 C 和 C++ 的情况,我们又该怎么办呢?


  • 使用一些现代 C++ 习惯用法来生产更安全可靠的代码;

  • 使用 fuzzers 和 sanitizers 提前发现错误;

  • 使用 exploit mitigations 增加利用漏洞的难度;

  • 特权分离,这样即使利用了漏洞,受影响的半径也较小。


相关阅读:


https://www.chromium.org/Home/chromium-security/memory-safety


2020-05-25 17:0110881
用户头像

发布了 497 篇内容, 共 337.1 次阅读, 收获喜欢 1927 次。

关注

评论

发布
暂无评论
发现更多内容

React源码分析6-hooks源码

goClient1992

React

认证升级 | 秒云再次获评软件企业认证

MIAOYUN

双软认证 软件企业认证 软件产品认证

业界首个!快手提出亿级别多模态短视频百科体系——快知Kuaipedia

Geek老T

短视频 快手 泛知识

我把分布式音乐播放器适配了Stage模型

OpenHarmony开发者

OpenHarmony

专业移动办公解决方案!远程控制软件RayLink内测火热进行中!

RayLink远程工具

远程控制软件 远程办公软件 远控软件 远程桌面连接 RayLink

React源码解读之更新的创建

flyzz177

React

面试官最喜欢问的几个react相关问题

beifeng1996

React

SAP 电商云的 Spartacus Storefront 如何配置多个 JavaScript Application

汪子熙

angular SAP commerce 电商云 11月月更

React源码分析7-state计算流程和优先级

goClient1992

React

HDC 2022精彩继续,多重亮点进来看!

HarmonyOS开发者

HarmonyOS

软件测试面试真题 |你用过哪些用例设计方法?

测试人

软件测试 面试题 测试用例

vue面试之Composition-API响应式包装对象原理

bb_xiaxia1998

Vue

梁胜博士:软件供应链安全两手抓,既要安全左移也要全链路防护丨活动回顾

SEAL安全

DevOps DevSecOps 软件供应链 安全左移 软件供应链安全

AI 模型编译器 MegCC 开源,解决推理引擎体积问题

MegEngineBot

深度学习 开源 MegEngine MegCC AI 模型编译器

EMQ荣获“2022中国移动创客马拉松OneOS物联网专题赛”三等奖

EMQ映云科技

物联网 IoT emqx 云边协同 车路协同

docker-compose下的java应用启动顺序两部曲之一:问题分析

程序员欣宸

Java Docker Docker-compose 11月月更

vue这些原理你都知道吗?(面试版)

bb_xiaxia1998

Vue

代码质量与安全 | 想在发布竞赛中胜出?Sonar来帮你

龙智—DevSecOps解决方案

代码质量 代码安全

万字详解JVM,让你一文吃透

华为云开发者联盟

开发 华为云 企业号十月 PK 榜

谈谈vue面试那些题

bb_xiaxia1998

Vue

react hook 源码完全解读

flyzz177

React

python中私有成员和公有成员

乔乔

11月月更

云原生系列四:Yelp 如何在 Kubernetes 上运行 Kafka

叶秋学长

kafka Kubernetes 11月月更 Yelp

谈谈企业级前端应用中客户端渲染和服务器端渲染的区别

汪子熙

前端开发 SSR SAP Spartacus 11月月更

DevUI开源经验分享:从0到1开始运营你的开源项目

华为云开发者联盟

开源 华为云 企业号十月 PK 榜

如何准备好一场vue面试

bb_xiaxia1998

Vue

什么是 HTML 语义化,有什么好处

肥晨

11月月更 HTML语义化 语义化标签

高效数据通道支撑生产情况实时分析与可视化|工业4.0智慧工厂

EMQ映云科技

物联网 IoT 数据可视化 11月月更 云边协同

在Dubbo中,模板方法模式 用得真6

小小怪下士

Java 程序员 dubbo 阿里

2022年中国汽车OTA行业发展洞察

易观分析

汽车 OTA

vue2项目搭建-使用VUE CLI3.0搭建项目vue2+scss+element简易版

肥晨

脚手架 11月月更 vue2项目搭建

Google也要放弃C/C++?Chrome 代码库中70%的安全漏洞是内存问题_语言 & 开发_田晓旭_InfoQ精选文章