Google hat eine Initiative gestartet, um Probleme in der Open-Source-Software zu lösen, die durch unsicheren Umgang mit Speicher verursacht werden. Laut Google sind 70 % der Sicherheitsprobleme in Chromium auf Fehler im Umgang mit Speicher zurĂŒckzufĂŒhren, wie zum Beispiel der Zugriff auf einen Puffer nach der Freigabe des zugehörigen Speichers (use-after-free). Auch eine Studie von Microsoft kam zu dem Ergebnis, dass 70 % aller Schwachstellen, die in den untersuchten Software-Updates behoben wurden, auf unsicheren Speicherzugriff zurĂŒckzufĂŒhren sind. Eine weitere Studie zeigte, dass 53 von 95 Schwachstellen, die in dem Tool curl entdeckt wurden, vermieden werden könnten, wenn der Code in einer Sprache geschrieben worden wĂ€re, die sicheren Speicherzugriff gewĂ€hrleistet.
Als Beispiele fĂŒr die ersten Initiativen, die von Google finanziert und in Zusammenarbeit mit der ISRG (Internet Security Research Group) durchgefĂŒhrt wurden, sind die Schaffung eines alternativen HTTP-Backends fĂŒr das Tool curl und die Entwicklung eines neuen TLS-Moduls fĂŒr den Apache-Webserver zu nennen. Beide Projekte wurden in der Programmiersprache Rust realisiert, die sich auf sichere Speicherverwaltung konzentriert und automatisches Speichermanagement bietet. Bei ordnungsgemĂ€Ăer Nutzung (Unterlassen unsicherer Zeigeroperationen im unsafe-Modus) können Probleme wie der Zugriff auf freigegebenen Speicher, Dereferenzierung nuller Zeiger und PufferĂŒberlĂ€ufe vermieden werden.
Quelle: opennet.ru
