IT之家5月23日消息 谷歌工程師本週表示,Chrome代碼庫中大約70%的嚴重的安全缺陷是內存管理漏洞,該比例與微軟共享的統計信息大致相同。
IT之家瞭解到,在 2019 年 2 月的一次安全會議上,微軟工程師表示,在過去 12 年中,大約 70% 的 Microsoft 產品安全更新都是為了解決了內存安全漏洞。
谷歌工程師還稱,這70% 的漏洞中有一半是沒有被利用的漏洞,但這是一種類型的安全問題,由內存指針(地址)管理不正確而產生,這為攻擊者攻擊 Chrome 的內部組件提供了條件。
谷歌稱,這一百分比是在谷歌工程師分析了自2015年以來在Chrome穩定分支中修復的912個安全漏洞後總結的,而這些錯誤基本都具有“高”或“嚴重”的威脅等級。
據IT之家瞭解,谷歌這種內存問題主要是由於早期代碼對不可信任的信息輸入處理、沒有沙盤的代碼運行環境以及使用了C和C 等不安全的語言,據悉,目前谷歌工程師在設計新的 Chrome 功能時,被要求他們的代碼不得有這三條中一個以上條件,以此避免新的內存管理錯誤的問題出現。