文章插圖
【科技資訊：內存管理對于Chrome和其他瀏覽器仍然存在安全風險】Chrome和其他瀏覽器中多達70%的安全風險是由內存管理問題引起的 。根據最近的一份報告 ， 該報告匯集了Microsoft和Google共享的詳細信息和統計信息 。雖然潛在的問題有所不同 ， 從古怪的編程語言的古怪代碼到編寫得不好的代碼不等，但使用后使用的漏洞占了一半 。
這是兩家公司的工程師都希望解決的難題 。
瀏覽器中的內存管理安全風險到底是什么?
如上所述，此處的數據基于兩個單獨的報告 。Google方面分析了自2015年以來已修復的912個具有高或嚴重嚴重性等級的安全漏洞 。微軟檢查了12年的安全漏洞 。但是它們都取決于相同類型的安全性問題 。也就是說，這就是上面提到的“先用后用”漏洞 。而且還包括緩沖區溢出，競爭條件，雙精度釋放，野生指針等 。
對于Google而言，特別需要關注三個方面 。這些是處理不可信輸入或無需沙箱運行的代碼 。沙盒可以有效地將網站或應用程序的代碼與其他代碼隔離開 。這是不安全編程語言的補充 。
實際上，這家搜索巨頭目前正在執行“ 2規則” 。該規則要求編寫新的Chrome功能時 ， 不得提出其中兩個以上的問題要點 。
無論如何，這些幾乎是所有瀏覽器(不僅僅是Chrome)的通用內存安全問題 。
現在 ， 從Chrome到Firefox，目前每個瀏覽器巨頭的主要關注點就是使用不安全的語言 。Google Chrome和其他瀏覽器已經非常重視與網站隔離有關的解決方案 。實際上，至少從2018 年開始，Google就一直在以某種形式積極地 將網站隔離納入 Chrome 。由于瀏覽器非常依賴用戶和其他來源的輸入，因此可能會留下不可信的輸入 。
站點隔離在解決該問題上已經走了很長一段路，但是 ， 正如Google所說，這已經達到了最大的收益 。該領域的更多工作可能會嚴重影響性能 。
盡管找到更安全的編程語言是一種無處不在的解決方案，但是，并非每個公司都采用相同的方法 。
有什么解決方案?
例如，Mozilla已在這方面帶頭努力 。但是它在Rust編程語言的探索和開發上投入了大量資金 。微軟也在探索Rust的使用 。但是它的努力，尤其是現在Edge是基于Chromium的 ， 遠遠超出了它 。該公司還通過其Checked C項目檢查了修復不安全語言的方法 。并且它通過Project Verona構建了自己的編程語言，類似于Rust 。
對于Google而言，該方法也分為三方面 。這家搜索巨頭表示 ， 它正在考慮開發自定義C ++庫 。Google會使用Chrome數據庫中的密碼，并提供更好的保護以防止普遍存在的漏洞 。它還在探索Rust，Swift，JavaScript，Kotlin和Java作為可能的替代品 。該公司至少在2017年就開始對Kotlin進行探索，當時Kotlin正式向Android添加了對該語言的支持 。
在更新穎的解決方案中 ， 谷歌正在探索一種可能性，特別是無償使用漏洞可以簡單地轉變為安全崩潰 。通過這樣做，Google可以有效利用漏洞加以關閉 。但是對性能的影響卻很小 。

• 科技資訊：小米的miui6操作系統為Android增添了風格和功能
• 科技資訊：摩托羅拉One Vision Plus認證證實了其某些規格
• 科技資訊：評測全模式Miix 2 10如何以及Surface多少錢
• 科技資訊：佳能EOS-1D X Mark III配備了新傳感器
• 科技資訊：以瘋狂的低價獲得Amazon Fire HD 10平板電腦
• 科技資訊：下一代蘋果iPhone SE可能具有改進的天線設計
• 科技資訊：LG展示其內置Android 10的新視頻界面
• 科技資訊：藍色圍裙的超越肉類風險的集會變得陳舊
• 科技資訊：OnePlus夾克設計競賽可能該公司下一次發布活動的門票
• 科技資訊：雷蛇給你的iOS或Android手機切換風格的控制