Afbeelding: Shutterstock
Het Chrome-beveiligingsteam heeft gezegd bereid te zijn de browser iets langzamer te maken als dit betekent dat de afweging een veel veiligere browser is.
Verwijzend naar eerdere cijfers dat 70% van alle beveiligingsproblemen te maken hebben met geheugenveiligheid, zei het team in een blogpost dat het naar drie benaderingen keek: compilatiecontroles, runtimecontroles en het gebruik van een geheugen veilige taal.
Dankzij het gebruik van C++ was de eerste optie niet mogelijk, maar het was kijken naar oplossingen zoals MiraclePtr voor runtime-controle.
“MiraclePtr voorkomt use-after-free-bugs door geheugen waarnaar nog steeds wordt verwezen in quarantaine te plaatsen. Op veel mobiele apparaten is geheugen erg kostbaar en het is moeilijk om wat te sparen voor een quarantaine”, aldus het team.
“Desalniettemin heeft MiraclePtr een kans om meer dan 50% van de 'use-after-free'-bugs in het browserproces te elimineren — een enorme overwinning voor Chrome-beveiliging, op dit moment.”
Tegelijkertijd blijft de browser kijken hoe de Rust-taal kan worden geïntegreerd om compilatiecontroles mogelijk te maken die vervolgens de prestaties niet beïnvloeden.
“Er zijn open vragen over de vraag of we C++ en Rust goed genoeg kunnen laten samenwerken”, aldus het team.
“Zelfs als we morgen zouden beginnen met het schrijven van nieuwe grote componenten in Rust, is het onwaarschijnlijk dat we gedurende vele jaren een aanzienlijk deel van de beveiligingsproblemen kunnen elimineren. En kunnen we de taalgrens schoon genoeg maken zodat we delen van bestaande componenten in Rust kunnen schrijven? We weten het nog niet. ”
Het team zei dat het een beperkt gebruik van Rust uitprobeert, maar dit moet nog worden doorgevoerd in productieversies van Chrome.
Rust, uitgevonden door Mozilla, wordt sinds 2016 gebruikt in delen van Firefox, en het Android-team van Google heeft gepusht om Rust in de Linux-kernel te introduceren.
Related Coverage
Google's Chrome-browser staat op het punt een stuk sneller te wordenGoogle patcht twee Chrome-zero-daysChrome 91 waarschuwt gebruikers bij het installeren van niet-vertrouwde extensiesMoet u een aantal tabbladen opslaan? Chrome doet het binnenkort voor u
gerelateerde onderwerpen:
Google Security TV Data Management CXO Datacenters 