Die US-amerikanische National Security Agency hat einen Bericht veröffentlicht, in dem die Risiken von Schwachstellen analysiert werden, die durch Fehler bei der Arbeit mit dem Speicher verursacht werden, beispielsweise durch den Zugriff auf einen Speicherbereich, nachdem dieser freigegeben wurde, und durch das Überschreiten von Puffergrenzen. Organisationen werden dazu angehalten, sich soweit wie möglich von Programmiersprachen wie C und C++ zu lösen, die die Speicherverwaltung dem Entwickler überlassen, und stattdessen Sprachen zu bevorzugen, die eine automatische Speicherverwaltung bereitstellen oder Speichersicherheitsüberprüfungen zur Kompilierungszeit durchführen.
Zu den empfohlenen Sprachen, die das Risiko von Fehlern durch unsichere Speicherverarbeitung verringern, gehören C#, Go, Java, Ruby, Rust und Swift. Als Beispiel werden Statistiken von Microsoft und Google genannt, denen zufolge etwa 70 % der Schwachstellen in deren Softwareprodukten durch unsicheren Speicherhandling verursacht werden. Wenn eine Migration auf sicherere Sprachen nicht möglich ist, wird Organisationen empfohlen, ihren Schutz durch den Einsatz zusätzlicher Compileroptionen, Fehlererkennungstools und Betriebssystemeinstellungen zu verstärken, die das Ausnutzen von Schwachstellen erschweren.
Source: opennet.ru