Shirika la ISRG (Kikundi cha Utafiti wa Usalama wa Mtandao), ambalo ni mwanzilishi wa mradi wa Let's Encrypt na kukuza maendeleo ya teknolojia ya kuongeza usalama wa mtandao, liliwasilisha mradi wa zlib-rs wa kuunda analog salama ya maktaba ya ukandamizaji wa data ya zlib. . Nambari ya zlib-rs imeandikwa kwa Rust na inasambazwa chini ya leseni ya Zlib. Maendeleo yanafanywa kwa jicho kwenye mradi wa zlib-ng, ambao huendeleza toleo la juu la utendaji wa zlib. Mradi umetengeneza maktaba mbili: zlib-rs, utekelezaji wa API ya zlib ambayo haitumii vitalu visivyo salama; libz-rs-sys ni programu jalizi yenye usaidizi wa C API ambayo ina msimbo katika hali "isiyo salama".
Sababu ya kuunda zlib-rs inasemekana kuwa ni kutoa toleo la zlib ambalo huepuka milipuko inayowezekana inayosababishwa na makosa ya kumbukumbu. Kulingana na Microsoft na Google, takriban 70% ya udhaifu husababishwa na utunzaji wa kumbukumbu usio salama. Inatarajiwa kuwa kutumia lugha ya Rust kutengeneza zlib-rs kutapunguza hatari ya udhaifu unaosababishwa na kazi isiyo salama na kumbukumbu, na kuondoa kutokea kwa hitilafu kama vile kufikia eneo la kumbukumbu baada ya kuachiliwa na kupita bafa.
Maktaba ya Zlib inasambazwa sana na kutumika kama tegemezi kwa mifumo mingi, ingawa udhaifu hatari huonekana mara kwa mara katika msimbo wa Zlib. Kwa mfano, mnamo 2022, kufurika kwa bafa iligunduliwa katika zlib wakati wa kujaribu kubana mlolongo maalum wa wahusika, ambayo ilifanya iwezekane kutumia athari kupitia uwasilishaji wa data inayoingia iliyoumbizwa mahususi.
Chanzo: opennet.ru
