Mpamorona ny tetikasa Chromium 912 ny vulnerability avo lenta sy mitsikera hita ao amin'ny famoahana stable an'ny Chrome nanomboka tamin'ny 2015, ary nanatsoaka hevitra fa ny 70% amin'izy ireo dia vokatry ny tsy fahatsiarovan-tena (fahadisoana rehefa miasa amin'ny tondro ao amin'ny kaody C/C++). Ny antsasany amin'ireo olana ireo (36.1%) dia vokatry ny fidirana amin'ny buffer rehefa avy nanafaka ny fahatsiarovana mifandray amin'izany (fampiasana aorian'ny tsy misy).
Rehefa namolavola Chromium dia tamin'ny voalohany , fa mety hisy hadisoana miseho ao amin'ny kaody, noho izany dia nomena lanja lehibe ny fampiasana ny fitokanana sandbox mba hamerana ny vokatry ny vulnerabilities. Amin'izao fotoana izao, ny fahafahan'ny fampiasana ity teknolojia ity dia tonga amin'ny fetran'ny fahafahany ary ny fizarazarana bebe kokoa amin'ny dingana dia tsy azo ampiharina amin'ny fomba fijery ny fanjifana loharanon-karena.
Mba hitazonana ny fiarovana ny codebase, Google dia mampihatra ny "", araka izay kaody fanampiny rehetra dia tsy maintsy mahafeno fepetra roa amin'ny telo: miasa miaraka amin'ny angona fidirana tsy voamarina, mampiasa fiteny fandaharana tsy azo antoka (C/C ++) ary mihazakazaka miaraka amin'ny tombontsoa ambony. Ity fitsipika ity dia midika fa ny kaody amin'ny fanodinana angona ivelany dia tsy maintsy ahena ho tombontsoa faran'izay kely (mitokana) na soratana amin'ny fiteny fandaharana azo antoka.
Mba hanamafisana bebe kokoa ny fiarovana ny fototry ny kaody dia nisy tetikasa natomboka mba hisorohana ny hadisoana fitadidiana tsy hiseho ao amin'ny fototry ny code. Misy fomba telo lehibe: mamorona tranomboky C ++ miaraka amin'ny fiasa ho an'ny fitadidiana azo antoka sy fanitarana ny sahan'ny mpanangona fako, amin'ny fampiasana mekanika fiarovana amin'ny fitaovana. (Memory Tagging Extension) ary manoratra singa amin'ny fiteny izay miantoka ny asa azo antoka miaraka amin'ny fitadidiana (Java, Kotlin, JavaScript, Rust, Swift).
Andrasana fa hifantoka aminβny sehatra roa ny asa:
- Fiovana lehibe amin'ny fizotry ny fampandrosoana C++, izay tsy manilika ny fiantraikany ratsy eo amin'ny zava-bita (fanamarinana fetra fanampiny sy fanangonana fako). Raha tokony ho tondro manta, dia soso-kevitra ny hampiasa ny karazana , izay ahafahanao mampihena ny lesoka azo trandrahana aorian'ny-maimaim-poana amin'ny fianjerana izay tsy miteraka fandrahonana fiarovana, tsy misy fiantraikany ratsy eo amin'ny fampisehoana, ny fanjifana fahatsiarovana ary ny fahamarinan-toerana.
- Ny fampiasana fiteny natao hanaovana fisavana fiarovana amin'ny fitadidiana amin'ny fotoana fanangonana (dia hanafoana ny fiantraikany ratsy eo amin'ny zava-bita misy ao amin'ny fanamarinana toy izany mandritra ny fanatanterahana ny fehezan-dalΓ na, fa hitarika ho amin'ny fandaniana fanampiny amin'ny fandaminana ny fifaneraseran'ny kaody amin'ny fiteny vaovao miaraka amin'ny kaody amin'ny C++).
Ny fampiasana trano famakiam-boky tsy misy fitadidiana no fomba tsotra indrindra, nefa tsy dia mahomby. Ny fanoratana indray ny kaody amin'ny Rust dia isaina ho fomba mahomby indrindra nefa lafo be.
Source: opennet.ru