Het veiligheidsteam van Google Chrome laat weten dat het verschillende aanpakken bestudeert om het aantal veiligheidsproblemen verder terug te drukken.
Vorig jaar claimde Google dat 70 procent van alle veiligheidsproblemen gerelateerd zijn aan geheugen. Vandaag deelt de zoekgigant in een blogpost drie aanpakken die het van naderbij bekijkt om de Chrome internetbrowser veiliger te maken:
- Compile-time checks
- Runtime checks
- Memory safe language
De eerste optie is door het gebruik van C++ niet mogelijk, maar het Chrome-team bekijkt alternatieven zoals MiraclePtr voor runtime checking. MiraclePtr voorkomt 50 procent van de use-after-free-bugs in het browserproces, wat een enorme veiligheidsboost zou geven aan Chrome. Het doet dat door geheugen in quarantaine te plaatsen. Google benadrukt wel dat dit een uitdaging is omdat heel wat mobiele toestellen beperkt geheugen aan boord hebben.
Daarnaast bekijkt het team ook hoe het de Rust programmeertaal kan integreren om compile-time checks uit te voeren zonder dat het impact heeft op de prestaties. Het onderzoekt tegelijk of C++ en Rust goed genoeg kunnen samenwerken. “Zelfs al starten we morgen met het schrijven van grote nieuwe componenten in Rust, dan duurt het nog vele jaren voordat een significante proportie aan kwetsbaarheden gedicht wordt”, aldus Google.
Rust werd ontwikkeld door Mozilla en wordt sinds 2016 in delen van Firefox verwerkt. Ook Googles eigen Android besturingssysteem lobbyt vandaag om Rust aan de Linux-kernel toe te voegen.
lees ook