Chrome พบช่องโหว่ร้ายแรงสูง 70% เป็นช่องโหว่หน่วยความจำ เตรียมหาทางแก้ระยะยาว อาจใช้ภาษา Rust

หัวข้อกระทู้ ใน 'เทคโนโลยี' เริ่มโพสต์โดย iPokz, 26 พฤษภาคม 2020.

  1. iPokz

    iPokz ~" iPokz "~ Staff Member

    โครงการ Google Chrome ออกรายงานวิเคราะห์ช่องโหว่ความร้ายแรงสูงถึงความร้ายแรงวิกฤติจำนวน 912 รายการ พบว่าในจำนวนนี้เป็นช่องโหว่หน่วยความจำถึง 70% แบ่งเป็นช่องโหว่ใช้หน่วยความจำหลังคืนค่าให้ระบบ (use-after-free) ถึง 36.1% และช่องโหว่หน่วยความจำอื่นๆ อีก 32.9% ทำให้ทีมงานเตรียมวางโครงการใหญ่เพื่อขจัดปัญหาในระยะยาว

    [​IMG]

    ทุกวันนี้ Chrome มีโครงสร้างความปลอดภัยหลักคือ sandbox ที่แยกโปรเซสของแต่ละเว็บออกจากกัน โดยแยกตัวเรนเดอร์หน้าเว็บตามแต่ละเว็บไซต์ แต่ sandbox ก็มีข้อจำกัดโดยบริการบางส่วนก็ต้องแชร์กันอยู่ดีเช่นระบบเน็ตเวิร์ค หากจับชิ้นส่วนเหล่านั้นแยกออกมาอีกก็จะพบปัญหาประสิทธิภาพ

    [​IMG]

    ทีมงานเตรียมหาทางปรับปรุงกระบวนการพัฒนาเพื่อลดช่องโหว่เหล่านี้ โดยเปิดทางเลือกไว้หลากหลาย ตั้งแต่การปรับไปใช้ไลบรารี C++ ที่ปลอดภัยมากขึ้น, อาศัยกระบวนการตรวจสอบของคอมไพล์เลอร์เพื่อห้ามใช้งาน pointer โดยตรง, หรือการใช้ภาษาอื่นที่ปลอดภัยกว่า C++ ในการพัฒนา เช่น Java/Kotlin, JavaScript, Rust, Swift แต่ภาษา Rust ถูกระบุเป็นพิเศษอยู่ในแผนภาพ

    แนวทางหลักที่เป็นไปได้ตอนนี้คือการปรับปรุงโค้ดเดิมให้เขียนในแนวทางที่ปลอดภัยขึ้น และการแยกบางส่วนออกมาพัฒนาในภาษาที่ปลอดภัย ความน่ากังวลหลักคือการเชื่อมระหว่างภาษา

    ก่อนหน้านี้ไมโครซอฟท์ก็เคยแสดงความสนใจในการใช้ภาษา Rust มาพัฒนาบางส่วนเพื่อลดช่องโหว่หน่วยความจำ โครงการใหม่ๆ ที่ต้องการความปลอดภัยหลายโครงการก็หันมาใช้ภาษา Rust กันแล้ว เช่น 1Password, FIDO2 ของกูเกิล, VPN ของแอปเปิล, และ Deno โครงการที่เตรียมมาแทนที่ Nodejs

    ที่มา - chromium-security

    Topics: ChromeRustSecurity
     

แบ่งปันหน้านี้