De meerderheid van ernstige kwetsbaarheden in Google Chrome heeft te maken met geheugenproblemen.
Google stelt zelf dat 70 procent van alle securityproblemen met Chrome gerelateerd is aan het geheugen. De helft hiervan betreft use-after-free kwetsbaarheden. Deze securityproblemen ontstaan door foutief management van memory pointers (adressen). Hierdoor kunnen hackers gemakkelijk toegang krijgen tot Chrome om vervolgens interne onderdelen aan te vallen.
Google analyseerde in totaal 912 ‘zeer ernstige’ en ‘kritieke’ beveiligingsfouten in alle stabiele Chrome-versies sinds 2015. Van de 130 kritieke kwetsbaarheden die Chrome heeft gevonden sinds maart 2019 zijn 125 kwetsbaarheden ontstaan door problemen met geheugencorruptie.
Problemen met C en C++
Google is niet het enige bedrijf dat worstelt met geheugen-gerelateerde problemen in zijn producten. Microsoft gaf eerder ook aan dat ongeveer 70 procent van de kwetsbaarheden in zijn producten betrekking heeft tot geheugenproblemen. Voor beide bedrijven spelen C en C++ een belangrijke rol binnen hun producten, wat erop zou kunnen wijzen dat de programmeertalen onveilig zijn.
De programmeertalen werden gebouwd in een tijd dat cyberaanvallen en securityproblemen nog niet op zo’n grote schaal voorkwamen zoals nu. Ontwikkelaars die C en C++ gebruiken hebben de volledige controle over hoe zij de memory pointers van een app beheren, maar deze programmeertalen beschikken niet over de mogelijkheden om ontwikkelaars te waarschuwen wanneer zij fouten maken in het geheugenbeheer. Dit leidt vervolgens tot applicaties die vol zitten met verschillende kwetsbaarheden zoals use-after-free.
13 uur geleden
