A maioria dos bugs graves de segurança do Chrome ocorre devido a problemas de segurança da memória, segundo o projeto Chromium.
O Google diz que desde março de 2019, 125 das 130 vulnerabilidades do Chrome com uma classificação de gravidade “crítica” eram problemas relacionados à corrupção de memória. Assim, apesar dos avanços na correção de outras classes de erros, o gerenciamento de memória ainda é um problema.
Os bugs de segurança do Chrome são problemas de segurança de memória
Em uma conferência de segurança em fevereiro de 2019, os engenheiros da Microsoft disseram que, nos últimos 12 anos, cerca de 70% de todas as atualizações de segurança dos produtos da Microsoft abordavam vulnerabilidades de segurança da memória.
A porcentagem foi compilada depois que os engenheiros do Google analisaram 912 bugs de segurança corrigidos na ramificação estável do Chrome desde 2015 (bugs com classificação de gravidade “alta” ou “crítica”).
Ambas as equipes estão lidando com os mesmos problemas: o C e o C++. As duas linguagens de programação predominantes em suas bases de código são linguagens “inseguras”. Assim, a Microsoft e o Google estão investindo pesadamente na exploração de alternativas ao C e ao C++.
Metade dos 70% eram vulnerabilidades “use-after-free”. Esse problema de segurança surge do gerenciamento incorreto de endereços de memória, deixando portas abertas para atacarem os componentes internos do Chrome.
O Google planeja:
- estudar o desenvolvimento de bibliotecas C++ personalizadas para usar com a base de código do Chrome;
- bibliotecas que oferecem melhores proteções contra bugs relacionados à memória;
- explorar o uso de linguagens “seguras”. Os candidatos incluem Rust, Swift, JavaScript, Kotlin e Java.
Por fim, caso queira ler mais matérias sobre código aberto, Linux, Android, hardware, internet, programação e ficar atualizado com as novidades do mundo da tecnologia, acompanhe as matérias no canal do Sempre Update no Telegram.
Fonte: Fudzilla