Google ha lanciato un'iniziativa per affrontare i problemi nel software open source causati da operazioni di memoria non sicure. Secondo Google, il 70% dei problemi di sicurezza in Chromium è dovuto a errori nella gestione della memoria, come l'accesso a un buffer dopo che la memoria associata è stata liberata (use-after-free). Anche uno studio di Microsoft ha concluso che il 70% di tutte le vulnerabilità corrette negli aggiornamenti software analizzati sono causate da operazioni di memoria non sicure. Un altro studio ha rivelato che 53 delle 95 vulnerabilità individuate nell'utilità curl sarebbero state evitate se il codice fosse stato scritto in un linguaggio che garantisce una gestione della memoria sicura.
Tra i primi progetti finanziati da Google e realizzati in collaborazione con ISRG (Internet Security Research Group) ci sono la creazione di un backend HTTP alternativo per l'utilità curl e lo sviluppo di un nuovo modulo TLS per il server web Apache. Entrambi i progetti sono stati implementati in Rust, un linguaggio focalizzato sulla gestione sicura della memoria, che assicura la gestione automatica della memoria, permettendo, se utilizzato correttamente (senza azioni pericolose con puntatori in modalità unsafe), di proteggersi da problemi come l'accesso a memoria dopo il rilascio, la dereferenziazione di puntatori nulli e l'overflow del buffer.
Fonte: opennet.ru
