快訊

中國洪災南韓遭殃?長江洪水衝擊濟州海域的低鹽水危機

影/蘇嘉全豪華農舍如今成廢墟 長治公所傾向拆除程序棘手

Google自曝:Chrome70%重大資安漏洞都出在這個地方

Chrome 先前的重大資安漏洞中裡,大約有 70% 是記憶體問題 記者葉信菉/攝影
Chrome 先前的重大資安漏洞中裡,大約有 70% 是記憶體問題 記者葉信菉/攝影

這份統計是來自 Chrome 2015 年起 912 項等級被列為「高」或「嚴重」的資安事件所算出來的;而且狀況恰巧跟微軟驚人地相似。

Chrome 無疑是當今全球使用度最高的瀏覽器,同時卻也以消耗記憶體資源出名。但你知道嗎?Chrome 本身大部分的資安漏洞也跟記憶體息息相關。

根據 Google 工程師自己在開發網站 Chrome.org 上說明,Chrome 先前的重大資安漏洞中裡,大約有 70% 是記憶體問題,而這 70% 中就有一半是屬於使用已釋放記憶體(Use-After-Free,UAF)的問題。這種漏洞的原理是透過應用程式在使用完記憶體將其釋放後,駭客趁機用之前植入的程式碼把這些記憶體偷偷挪用 。INSIDE 之前報導過的零日漏洞(CVE-2019-5786)就屬此類。

這份統計是來自 Chrome 2015 年起 912 項等級被列為「高」或「嚴重」的資安事件所算出來的;而且這數字恰巧也跟微軟驚人地相似,微軟工程師曾在去年一場資安會議上表示,在過去 12 年中微軟所有產品的資安更新裡,就有 70% 是為了記憶體相關漏洞。

這是為什麼呢?外媒 ZDNET 指出這是 C 和 C ++ 語言的問題,C 和 C ++ 允許工程師讓完全控制應用程式的記憶體指標(pointer),但另一方面 C 和 C ++ 語言缺乏例如自動邊界檢查等機制,連帶造成釋放記憶體、緩衝區過讀、緩衝區溢位等情形。

這導致記憶體攻擊成為日後駭客最喜歡的攻擊手法之一,同時也成了 Google 在內各大軟體公司最頭痛的一塊;這讓 Chrome 工程師在開發新功能時不得不遵守「The Rule of 2」的開發規則:

程式碼本身不受信任

程式沒有在沙盒下試運行過

用 C、C++ 寫的程式(!)

只要犯了上面其中兩條,基本上 Chrome 內部就不接受程式碼。

《本文作者 Chris,原文刊登於合作媒體INSIDE,聯合新聞網獲授權轉載。》

Chrome Google 瀏覽器 記憶體 資安

延伸閱讀

拚2024年重返月球!NASA徵受試者 8個月與世隔絕模擬火星生活

微軟接龍滿30歲了!現在每月還有3,500萬名玩家在玩

realme全球用戶人數超過3500萬!X50 Pro玩家版、X50m等新品亮相

LINE隱藏版新技巧學起來 手指點訊息往左滑快速回覆對方

相關新聞

EXCEL表格欄列要怎麼鎖定?常用的Google試算表功能藏在這

你可能也遇過一樣的問題,閱讀表格的同時不小心轉動滑鼠滾輪,就不曉得自己看到哪一行哪一列,而要回頭再看一次標題。今天要跟大家介紹的功能[凍結窗格],讓我們的標題在隨處移動時,仍能清楚可見。

LINE全新「特效貼圖」華麗登場 「讚」貼圖用戶最愛用

LINE台灣於今舉辦「LINE CONVERGE 2020年度記者會」,今年因為疫情,讓LINE在全球的群組通話數,自1...

不是說好免費試用?玩變臉FaceApp 為什麼刪除了還會莫名被扣款990元?

FaceApp在最近因為許多政治人物開始玩變臉,男生變成女生、女生變成男生之後,再度引起討論。不過,這款軟體其實一直以來都被爆出許多問題,甚至有些人因而被直接扣款990元,因此要玩之前還是有些東西要注意一下。

別亂下載擴充套件!間諜軟體透過3200萬個Chrome擴充程式竊取個資

你喜歡下載 Chrome 的免費擴充功能嗎?俗話說:「免費的最貴」,可能要當心個資是否就這樣悄悄拱手送給他人了。

LINE10.10.0更新 貼圖介面大優化、Android也能自動備份

LINE貼圖越買越多,你是否也覺得常用的總是剛買的那幾組?為了讓用戶可以更便利地運用擁有的貼圖,最新的LINE 10.1...

揭發Ctrl-Alt-Delete不為人知的功能 Windows工作管理員「創造者」在25 年後親自解密

全世界最知名的組合鍵是什麼?究竟是 Ctrl-C 還是 Ctrl-V?或許答案應該是叫出 Windows 工作管理員的「Ctrl-Alt-Delete」。在 TaskMgr.exe 誕生了 25 年之後,它的「創造者」David Plummer,為我們帶來了一連串不為人知的操作秘辛。

蘋果中國app平台 本月首周下架2,500款無許可字號手遊

蘋果在這個月的第一周內,自中國版的應用程式平台app store下架了超過了2,500款手機遊戲。數量之多,是上個月第一...

LINE貼圖新增5大項功能 超方便用法一次看

近日LINE推出10.10.0版本更新,其中有5項針對貼圖功能的更新,包括文字搜尋貼圖、訊息貼圖套用捷徑、自動刪除過期貼圖等,新增不少貼心功能。目前Android和iOS系統都已開放更新。

想當Google地圖達人?高級在地嚮導傳授超實用地圖秘笈!

儲存停車位、多點路線規劃,你每天使用的 Google 地圖真的有用好用滿嗎?讓我們一起來看看還有哪些訣竅!

Google的「AirDrop」功能-Nearby Share 預計8月開放Android 6.0裝置使用

原先以Fast Share名稱推出,後續則改為Nearby Share的功能,是Google計畫在Android平台提供類似蘋果AirDrop的檔案快速分享功能,目前有消息指稱此項功能最快會在今年8月開放提供使用,預計讓所有Android 6.0版本以上的裝置使用。

被Google視為間諜軟體!知名跑分程式「AnTuTu安兔兔」慘遭封殺

買新手機除了考慮品牌、外型設計之外,有不少人也會參考跑分程式的效能測試報告,而「AnTuTu 安兔兔」就是其中一款具有知名度的中國跑分 App 。

最高可延長2小時使用時間!新版Chrome瀏覽器大幅改善耗電問題

先前對外承諾針對Chrome瀏覽器耗電問題進行修正後,Google在針對開發者提供的版號86測試版本加入新實驗功能,將可讓使用者手動關閉閒置分頁內的背景運作功能,藉此讓裝置續航電力最高可延長2小時使用時間。

熱門新聞

商品推薦

udn討論區

0 則留言
規範
  • 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
  • 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
  • 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
  • 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。