پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > کرومیم میں سیکیورٹی کے 70% مسائل میموری کی خرابیوں کی وجہ سے ہوتے ہیں۔

کرومیم میں سیکیورٹی کے 70% مسائل میموری کی خرابیوں کی وجہ سے ہوتے ہیں۔

کرومیم پروجیکٹ کے ڈویلپرز تجزیہ کیا 912 سے کروم کی مستحکم ریلیز میں 2015 اعلی خطرے اور اہم کمزوریوں کی نشاندہی کی گئی ہے، اور یہ نتیجہ اخذ کیا گیا ہے کہ ان میں سے 70% میموری کی عدم تحفظ کی وجہ سے ہوئے ہیں (C/C++ کوڈ میں پوائنٹرز کے ساتھ کام کرتے وقت غلطیاں)۔ ان مسائل میں سے نصف (36.1%) اس سے وابستہ میموری کو آزاد کرنے کے بعد بفر تک رسائی کی وجہ سے ہیں (استعمال کے بعد مفت)۔

کرومیم میں سیکیورٹی کے 70% مسائل میموری کی خرابیوں کی وجہ سے ہوتے ہیں۔

Chromium کو ڈیزائن کرتے وقت یہ ابتدائی طور پر تھا۔ رکھ دیا، کہ کوڈ میں غلطیوں کا ظاہر ہونا ممکن ہے، لہذا کمزوریوں کے نتائج کو محدود کرنے کے لیے سینڈ باکس تنہائی کے استعمال پر بہت زیادہ زور دیا گیا۔ فی الحال، اس ٹیکنالوجی کے استعمال کے امکانات اپنی صلاحیتوں کی حد تک پہنچ چکے ہیں اور وسائل کی کھپت کے نقطہ نظر سے عمل میں مزید ٹکڑے ٹکڑے ہونا ناقابل عمل ہے۔

کوڈ بیس کی حفاظت کو برقرار رکھنے کے لیے، گوگل بھی نافذ کرتا ہے "دو کا اصول"، جس کے مطابق کسی بھی شامل کردہ کوڈ کو تین میں سے دو شرائط پر پورا نہیں اترنا چاہیے: غیر تصدیق شدہ ان پٹ ڈیٹا کے ساتھ کام کرنا، ایک غیر محفوظ پروگرامنگ زبان (C/C++) کا استعمال کرنا اور اعلیٰ مراعات کے ساتھ چلنا۔ اس قاعدے کا مطلب یہ ہے کہ بیرونی ڈیٹا پر کارروائی کرنے کے لیے کوڈ کو یا تو کم سے کم مراعات (الگ تھلگ) تک کم کیا جانا چاہیے یا کسی محفوظ پروگرامنگ زبان میں لکھا جانا چاہیے۔

کوڈ بیس کی سیکیورٹی کو مزید بڑھانے کے لیے، کوڈ بیس میں میموری کی غلطیوں کو ظاہر ہونے سے روکنے کے لیے ایک پروجیکٹ شروع کیا گیا ہے۔ تین اہم طریقے ہیں: میموری کو محفوظ طریقے سے چلانے کے لیے فنکشنز کے ساتھ C++ لائبریریاں بنانا اور کوڑا اٹھانے والے کے دائرہ کار کو بڑھانا، ہارڈ ویئر کے تحفظ کے طریقہ کار کا استعمال کرتے ہوئے Mte (میموری ٹیگنگ ایکسٹینشن) اور زبانوں میں تحریری اجزاء جو میموری کے ساتھ محفوظ کام کو یقینی بناتے ہیں (جاوا، کوٹلن، جاوا اسکرپٹ، رسٹ، سوئفٹ)۔

توقع ہے کہ کام دو شعبوں پر مرکوز ہو گا:

  • C++ ترقی کے عمل میں اہم تبدیلی، جو کارکردگی پر منفی اثر کو خارج نہیں کرتی ہے (اضافی حدود کی جانچ پڑتال اور کوڑا کرکٹ جمع کرنا)۔ خام اشارے کے بجائے، قسم استعمال کرنے کی تجویز ہے۔ MiraclePtr، جو آپ کو کارکردگی، میموری کی کھپت اور استحکام پر نمایاں منفی اثر ڈالے بغیر، آپ کو قابل استعمال استعمال کے بعد فری غلطیوں کو کم کرنے کی اجازت دیتا ہے جو کہ حفاظتی خطرہ نہیں لاتے۔
  • کمپائل کے وقت میموری سیفٹی چیک کرنے کے لیے ڈیزائن کی گئی زبانوں کا استعمال (کوڈ پر عمل درآمد کے دوران اس طرح کی جانچ میں شامل کارکردگی پر منفی اثر کو ختم کرے گا، لیکن کوڈ کے ساتھ نئی زبان میں کوڈ کے تعامل کو منظم کرنے کے لیے اضافی اخراجات کا باعث بنے گا۔ C++)۔

میموری سے محفوظ لائبریریوں کا استعمال سب سے آسان، لیکن کم موثر طریقہ بھی ہے۔ زنگ میں دوبارہ لکھنے والے کوڈ کو سب سے مؤثر، لیکن بہت مہنگا طریقہ بھی قرار دیا گیا ہے۔

کرومیم میں سیکیورٹی کے 70% مسائل میموری کی خرابیوں کی وجہ سے ہوتے ہیں۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں