Chrome工程師：代碼庫中 70% 的安全缺陷是內(nèi)存問題

IT之家5月23日消息  谷歌工程師本周表示，Chrome代碼庫中大約70%的嚴(yán)重的安全缺陷是內(nèi)存管理漏洞，該比例與微軟共享的統(tǒng)計(jì)信息大致相同。

IT之家了解到，在 2019 年 2 月的一次安全會(huì)議上，微軟工程師表示，在過去 12 年中，大約 70% 的 Microsoft 產(chǎn)品安全更新都是為了解決內(nèi)存安全漏洞。

谷歌工程師還稱，這70% 的漏洞中有一半是沒有被利用的漏洞，但這是一種類型的安全問題，由指針管理不正確而產(chǎn)生，這為攻擊者攻擊 Chrome 的內(nèi)部組件提供了條件。

谷歌稱，這一百分比是在谷歌工程師分析了自2015年以來在Chrome穩(wěn)定分支中修復(fù)的912個(gè)安全漏洞后總結(jié)的，而這些錯(cuò)誤基本都具有“高”或“嚴(yán)重”的威脅等級(jí)。

據(jù)IT之家了解，谷歌這種內(nèi)存問題主要是由于早期代碼對(duì)不可信任的信息輸入處理、沒有沙盤的代碼運(yùn)行環(huán)境以及使用了C和C++等不安全的語言，據(jù)悉，目前谷歌工程師在設(shè)計(jì)新的 Chrome 功能時(shí)，被要求他們的代碼不得有這三條中一個(gè)以上條件，以此避免新的內(nèi)存管理錯(cuò)誤的問題出現(xiàn)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。