ጉግል በ Chrome ውስጥ 70% የደህንነት ትሎች ‘የማስታወስ ደህንነት ችግሮች’ ናቸው ብሏል

LEARN TO CODE SQUARE AD

በ Google Chrome ውስጥ ወደ 70% የሚሆኑት ከባድ የደህንነት ሳንካዎች የማስታወሻ ደህንነት ችግሮች መኖራቸውን አስተውሏል። ከ 70% የደህንነት ሳንካዎች ውስጥ ግማሽ ያህሉ ከትክክለኛ የማስታወሻ ጠቋሚዎች አያያዝ የሚነሱ እና የ Chrome ውስጣዊ አካላት ተጋላጭነትን የሚፈጥሩ ከጥንቃቄ-ነጻ ተጋላጭነቶች ናቸው።

ይህ ድምዳሜ እ.ኤ.አ. በ 2015 በተረጋጋ የ Chrome ስሪት ውስጥ የተስተካከሉ 912 የደህንነት ስህተቶችን ከመረመረ በኋላ ደርሷል። የ Google መሐንዲሶች ከባድ በሆነ ደረጃ “ከፍተኛ” ወይም “ወሳኝ” ደረጃ የተሰጣቸውን ሳንካዎች ገምግመዋል።

በታዋቂ አገልግሎቶች ውስጥ የማህደረ ትውስታ ደህንነት ጉዳዮች እንደ ደህንነት አሳቢነት ሲወጡ ይህ የመጀመሪያ አይደለም። እ.ኤ.አ. በየካቲት (የካቲት) 2019 ላይ ፣ የማይክሮሶፍት መሐንዲሶችም የ Microsoft ምርቶች (ባለፉት 12 ዓመታት ውስጥ) ከሁሉም የደህንነት ዝመናዎች ውስጥ ወደ 70% የሚሆኑት ከማስታወሻ ደህንነት አደጋዎች ጋር የተዛመዱ መሆናቸውን ጠቅሰዋል ፡፡

የማስታወስ ደህንነት አሁንም ትልቅ ችግር የሆነው ለምንድነው?

ጉግል እና ማይክሮሶፍት እንደ C እና C ++ ባለቸው ታዋቂ ሶፍትዌሮች ውስጥ ስለ ትውስታ ደህንነት ጉዳዮች ጋር ተነጋግረዋል Windows 10 እና Chrome። ግን ሁለቱም የ C እና C ++ የፕሮግራም አወጣጥ ቋንቋዎች የማስታወስ ችሎታ ችግሮች የሚፈጠሩ “ጤናማ ያልሆኑ ቋንቋዎች” ተብለው ተሰይመዋል ፡፡

እነዚህ ሁለት ቋንቋዎች የተፈጠሩት የፀጥታ ጉዳዮች ዋነኛው አሳሳቢ በማይሆንበት ጊዜ ከዓመታት በፊት ነው ፡፡ ስለሆነም የእነዚህ ቋንቋዎች ፈጠራዎች የማስታወሻ ደኅንነትን ችግሮች ከግምት ውስጥ አልገቡም ፡፡

ሁለቱም የ C እና C ++ ቋንቋዎች በኮድ ውስጥ የማህደረ ትውስታ ጠቋሚዎችን (አድራሻዎችን) እንዴት ማቀናበር እንደሚፈልጉ ለገንቢዎች ሙሉ ቁጥጥር ይሰጣሉ ፡፡ ሆኖም ገንቢዎች በመሠረታዊ ማህደረ ትውስታ አስተዳደር ውስጥ ስህተቶችን እንዳያደርጉ ለመከላከል በእነዚህ ቋንቋዎች ምንም ስህተት ወይም ማስጠንቀቂያዎች አልተነሱም ፡፡

ይህ በመተግበሪያዎች ውስጥ የማስታወስ ችሎታ ተጋላጭነትን ያስከትላል። ከተለመዱት ተጋላጭነቶቹ መካከል አንዳንዶቹ በብዛት የተሞሉ ናቸው ፣ የዱር አመላካቾች ፣ ከአጠቃቀም በኋላ-የዘር ሁኔታ ፣ በእጥፍ ነፃ ፣ ወዘተ.

እንደነዚህ ያሉት ተጋላጭነቶች ብዙውን ጊዜ በመሣሪያ ማህደረ ትውስታ ውስጥ ተንኮል-አዘል ኮዶችን ለመትከል በጠላፊዎች ይጠቀማሉ። ተጎጂው በአሳሾች ፣ በስርዓተ ክወናዎች ወይም በአገልጋዮች አማካይነት እንደዚህ ያሉ የተበላሹ ኮዶችን ከፈጸመ አንዴ ባለማወቅ በሳይበር ጥቃቶች ይወድቃሉ ፡፡

የሶፍትዌር ምህንድስና በቅርብ ጊዜ የፕሮግራም አዘጋጆች የደህንነት ጉድለቶችን በመፍታት እና ደህንነታቸው የተጠበቀ የአሰራር ዘዴዎችን በማስቀመጥ ረገድ የተሻሉ እየሆኑ መጥተዋል ፡፡ ሆኖም ለማስታወስ ችሎታ ተጋላጭነት እንደዚህ ያለ ስኬት አልተስተዋለም ፡፡

ጉግል ውስጥ የማስታወሻ ሳንካዎችን እልባት ለመስጠት ጉግል እንዴት ነው?

በ Chromium ፕሮጀክት የሚቀጥለው ቀጣዩ ዋና ዕቅድ እንደነዚህ ያሉትን ሳንካዎች ምንጭ ላይ መከላከል ነው ብሏል። የማህደረ ትውስታ አስተዳደር ሳንካዎችን ችግር ለመፍታት የጉግል ክሮም መሐንዲሶች አሁን “የ.. ደንብ 2. ”

ደንብ 2 ለደህንነቱ የተጠበቀ ቋንቋ

ይህ ደንብ አንድ አዲስ የ Chrome ባህሪ በኮድ ሲገባ የሚከተሉትን ከሚከተሉት ሁኔታዎች ውስጥ ከሁለቱ የሚበልጡ ሁኔታዎችን ማሟላት እንደሌለበት ይገልጻል-

  • እምነት የሚጣልባቸው ግብዓቶች አሉት
  • ያለ Sandboxing ይሠራል
  • ደህንነቱ ባልተጠበቀ የፕሮግራም ቋንቋ (እንደ C / C ++)