快訊

藍啟動公投宣講 費鴻泰爆:民進黨定調828前不進口萊豬

多數人都缺乏維生素D? 權威期刊《JAMA》揭真相

Google自曝:Chrome70%重大資安漏洞都出在這個地方

Chrome 先前的重大資安漏洞中裡,大約有 70% 是記憶體問題 記者葉信菉/攝影
Chrome 先前的重大資安漏洞中裡,大約有 70% 是記憶體問題 記者葉信菉/攝影

這份統計是來自 Chrome 2015 年起 912 項等級被列為「高」或「嚴重」的資安事件所算出來的;而且狀況恰巧跟微軟驚人地相似。

Chrome 無疑是當今全球使用度最高的瀏覽器,同時卻也以消耗記憶體資源出名。但你知道嗎?Chrome 本身大部分的資安漏洞也跟記憶體息息相關。

根據 Google 工程師自己在開發網站 Chrome.org 上說明,Chrome 先前的重大資安漏洞中裡,大約有 70% 是記憶體問題,而這 70% 中就有一半是屬於使用已釋放記憶體(Use-After-Free,UAF)的問題。這種漏洞的原理是透過應用程式在使用完記憶體將其釋放後,駭客趁機用之前植入的程式碼把這些記憶體偷偷挪用 。INSIDE 之前報導過的零日漏洞(CVE-2019-5786)就屬此類。

這份統計是來自 Chrome 2015 年起 912 項等級被列為「高」或「嚴重」的資安事件所算出來的;而且這數字恰巧也跟微軟驚人地相似,微軟工程師曾在去年一場資安會議上表示,在過去 12 年中微軟所有產品的資安更新裡,就有 70% 是為了記憶體相關漏洞。

這是為什麼呢?外媒 ZDNET 指出這是 C 和 C ++ 語言的問題,C 和 C ++ 允許工程師讓完全控制應用程式的記憶體指標(pointer),但另一方面 C 和 C ++ 語言缺乏例如自動邊界檢查等機制,連帶造成釋放記憶體、緩衝區過讀、緩衝區溢位等情形。

這導致記憶體攻擊成為日後駭客最喜歡的攻擊手法之一,同時也成了 Google 在內各大軟體公司最頭痛的一塊;這讓 Chrome 工程師在開發新功能時不得不遵守「The Rule of 2」的開發規則:

程式碼本身不受信任

程式沒有在沙盒下試運行過

用 C、C++ 寫的程式(!)

只要犯了上面其中兩條,基本上 Chrome 內部就不接受程式碼。

《本文作者 Chris,原文刊登於合作媒體INSIDE,聯合新聞網獲授權轉載。》

Chrome Google 瀏覽器 記憶體 資安

延伸閱讀

LINE隱藏版新技巧學起來 手指點訊息往左滑快速回覆對方

realme全球用戶人數超過3500萬!X50 Pro玩家版、X50m等新品亮相

微軟接龍滿30歲了!現在每月還有3,500萬名玩家在玩

拚2024年重返月球!NASA徵受試者 8個月與世隔絕模擬火星生活

相關新聞

蘋果允許用戶預先安裝非蘋果軟體 俄羅斯首開先例

為順應俄羅斯即將上路的消費者保護新規,蘋果(Apple)採取一項空前的行動,將在初次設定裝置階段新增選項,讓消費者預先安...

LINE情人節限定特效來了!輸入3組關鍵字看熊大兔兔曬恩愛

LINE期間限定特效又來了!不久後的3月14日便是白色情人節,LINE為此推出限定特效,只要輸入3組關鍵字便能看到熊大和兔兔放閃。開放時間從9日直到15日的上午11點止,這段期間盡情曬恩愛吧!

看不出破綻的超自然「照騙」!十大網美必備拍照APP

手機越做越輕巧,相機越來越清晰,拍照紀錄生活已經是現代人生活常態,美照並非網美專利,不管是自拍還是幫女友拍,抓好角度、套對濾鏡,人人都可以拍出優勢,選對「拍照APP」更重要!

Google接下來也可能讓Android 走向雲端化?

除了微軟計畫打造雲端化的Windows作業系統,過去累積不少Chrome OS作業系統發展經驗的Google,似乎也準備讓Android作業系統走向雲端化。

新「嘆氣」表情超實用! Google發布5款全新emoji

現代通訊軟體發達,每個人每天都在接受大量的訊息,表情符號也是現代人傳訊息時不可或缺的元素,google今日就在網上發布新的emoji(表情符號)...

PPT也能媲美專業製圖軟體?教你快速上手「合併圖案工具」

在ppt裡面有很多小功能,如果能夠靈活運用,很多功能都可以媲美專業的製圖軟體,今天就帶大家簡易入門,之後大家就可以自由發揮。

商品推薦

udn討論區

0 則留言
規範
  • 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
  • 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
  • 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
  • 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。