۷۰ درصد باگ های امنیتی کروم مربوط به مشکلات مدیریت حافظه می شود

۷۰ درصد باگ های امنیتی کروم مربوط به مشکلات مدیریت حافظه می شود

مهندسان گوگل اخیرا اعلام کرده اند که نزدیک به ۷۰ درصد از باگ های امنیتی جدی در کد پایه کروم مربوط به مدیریت رم و باگ های ایمنی می شود.

نیمی از این ۷۰ درصد مربوط به آسیب پذیری های حافظه از نوع «Use After Free» می شود، نوعی از مشکل امنیتی که توسط مدیریت نادرست حافظه اشاره گر به وجود می آید و باعث می شود هکرها از آن ها برای حملات به اجزای داخلی استفاده کنند.

محققان گوگل برای دستیابی به این نتیجه، ۹۱۲ باگ امنیتی که از سال ۲۰۱۵ تا به امروز رفع کرده اند را مورد بررسی قرار داده اند که البته این باگ ها در دسته خطرناک قرار داشته اند.

آمار منتشر شده از سوی مهندسان گوگل با اطلاعات مایکروسافت یکسان است.

مهندسان مایکروسافت در کنفرانس امنیتی خود در فوریه ۲۰۱۹ اعلام کردند که نزدیک به ۷۰ درصد بروزرسانی های امنیتی برای محصولات مایکروسافت برای رفع آسیب پذیری های حافظه منتشر شده اند.

مایکروسافت و گوگل با مشکل مشابهی دست و پنجه نرم می کنند که مربوط به زبان های برنامه نویسی C و ++C می شود. این دو زبان امنیت بالایی نداشته و چندین دهه پیش توسعه پیدا کرده اند؛ زمانی که حملات سایبری زیادی در جهان وجود نداشت، بنابراین مهندسان توجه چندانی به آن ها نداشتند.

برنامه نویسان این دو زبان می توانند به صورت کامل اشاره گر حافظه را کنترل کنند.

اگر توسعه دهنده در مدیریت حافظه اشتباهی مرتکب شود، C و ++C به وی هشدار نمی دهد.

این موضوع باعث می شود که توسط آسیب پذیری های مدیریت رم بتوان به دستگاه ها حمله کرد.

بسیاری از مهاجمان برای هدف قرار دادن قربانی خود از این آسیب پذیری ها استفاده می کنند.

در سال های اخیر مهندسان نرم افزار پیشرفت زیادی داشته اند و توانسته اند بسیاری از مشکلات امنیتی پایه را رفع کنند، اما هنوز راه حل های زیادی برای آسیب پذیری های مدیریت حافظه وجود ندارد. گوگل اعلام کرده که از مارس ۲۰۱۹ تا به امروز، ۱۲۵ مورد از ۱۳۰ آسیب پذیری خطرناک کروم مربوط به حافظه آن بوده است.

باگ های مدیریت حافظه در حدی زیادی بوده که مهندسان کروم در گوگل مجبور شده اند از «The Rule Of 2» استفاده کنند.

بر اساس این قانون، زمانی که مهندسان ویژگی جدیدی را برای کروم درنظر می گیرند، کد آنها حداکثر می تواند دو مورد از شرایط زیر را داشته باشد:

  • کدهایی که ورودی های غیرقابل اعتماد را پردازش می کنند.
  • کدی که بدون «سندباکس» اجرا می شود.
  • کدی که توسط زبان های برنامه نویسی ناامن مانند C و ++C نوشته می شوند.

هر کدام از شرکت ها به روشی قصد دارند با این آسیب پذیری ها مبارزه کنند که یکی از آن ها، استفاده از زبان برنامه نویسی جدید است.

«راست» یکی از ایمن ترین زبان های برنامه نویسی محسوب می شود که توسط تحقیقات «موزیلا» توسعه پیدا کرده است.

نیمی از این ۷۰ درصد مربوط به آسیب پذیری های حافظه از نوع «Use After Free» می شود، نوعی از مشکل امنیتی که توسط مدیریت نادرست حافظه اشاره گر به وجود می آید و باعث می شود هکرها از آن ها برای حملات به اجزای داخلی استفاده کنند.

محققان گوگل برای دستیابی به این نتیجه، ۹۱۲ باگ امنیتی که از سال ۲۰۱۵ تا به امروز رفع کرده اند را مورد بررسی قرار داده اند که البته این باگ ها در دسته خطرناک قرار داشته اند.

آمار منتشر شده از سوی مهندسان گوگل با اطلاعات مایکروسافت یکسان است.

مهندسان مایکروسافت در کنفرانس امنیتی خود در فوریه ۲۰۱۹ اعلام کردند که نزدیک به ۷۰ درصد بروزرسانی های امنیتی برای محصولات مایکروسافت برای رفع آسیب پذیری های حافظه منتشر شده اند.

مایکروسافت و گوگل با مشکل مشابهی دست و پنجه نرم می کنند که مربوط به زبان های برنامه نویسی C و ++C می شود. این دو زبان امنیت بالایی نداشته و چندین دهه پیش توسعه پیدا کرده اند؛ زمانی که حملات سایبری زیادی در جهان وجود نداشت، بنابراین مهندسان توجه چندانی به آن ها نداشتند.

برنامه نویسان این دو زبان می توانند به صورت کامل اشاره گر حافظه را کنترل کنند.

اگر توسعه دهنده در مدیریت حافظه اشتباهی مرتکب شود، C و ++C به وی هشدار نمی دهد.

این موضوع باعث می شود که توسط آسیب پذیری های مدیریت رم بتوان به دستگاه ها حمله کرد.

بسیاری از مهاجمان برای هدف قرار دادن قربانی خود از این آسیب پذیری ها استفاده می کنند.

در سال های اخیر مهندسان نرم افزار پیشرفت زیادی داشته اند و توانسته اند بسیاری از مشکلات امنیتی پایه را رفع کنند، اما هنوز راه حل های زیادی برای آسیب پذیری های مدیریت حافظه وجود ندارد. گوگل اعلام کرده که از مارس ۲۰۱۹ تا به امروز، ۱۲۵ مورد از ۱۳۰ آسیب پذیری خطرناک کروم مربوط به حافظه آن بوده است.

باگ های مدیریت حافظه در حدی زیادی بوده که مهندسان کروم در گوگل مجبور شده اند از «The Rule Of 2» استفاده کنند.

بر اساس این قانون، زمانی که مهندسان ویژگی جدیدی را برای کروم درنظر می گیرند، کد آنها حداکثر می تواند دو مورد از شرایط زیر را داشته باشد:

  • کدهایی که ورودی های غیرقابل اعتماد را پردازش می کنند.
  • کدی که بدون «سندباکس» اجرا می شود.
  • کدی که توسط زبان های برنامه نویسی ناامن مانند C و ++C نوشته می شوند.

هر کدام از شرکت ها به روشی قصد دارند با این آسیب پذیری ها مبارزه کنند که یکی از آن ها، استفاده از زبان برنامه نویسی جدید است.

«راست» یکی از ایمن ترین زبان های برنامه نویسی محسوب می شود که توسط تحقیقات «موزیلا» توسعه پیدا کرده است.

شرکت فرازاندیشان سامانه گستر صبا با گردهم آوری تعدادی از متخصصین و اساتید بزرگ کشور در زمینه فناوری اطلاعات و ارتباطات و نیز امنیت اطلاعات و با اتکا بر دانش فنی، تخصص و تجارب ایشان، درصدد است در اجرای پروژه ها و طرح ها پژوهشی، کاربردی، راهبردی، فنی و مالی به ایفای نقش و

مشارکت اثربخش و کارا بپردازد. به یقین در این مسیر اعتقاد به نوآوری، اندیشه ورزی و بهره گیری از توانایی ها و پرورش استعدادها راهگشا بوده و نشانگر اعتقاد درونی بر سازندگی و پیشرفت میهن عزیزمان ایران اسلامی است.شرکت فرازاندیشان سامانه گستر صبا از شرکت های زیر مجموعه هلدینگ صبا میهن بوده است.

منبع :خبرگزاری بازدید ۳ خرداد ۱۳۹۹

0 پاسخ

دیدگاه خود را ثبت کنید

Want to join the discussion?
Feel free to contribute!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *