Cerca de 70% dos erros graves de segurança no Chrome ocorre devido a problemas de segurança de memória. Os engenheiros do Google chegaram a essa conclusão depois de analisar 912 erros de severidade alta ou crítica que afetam as versões estáveis do canal desde 2015.
O Google observa neste relatório de segurança de memória que a arquitetura de segurança do Chromium foi projetada para assumir que esses erros existem, usando caixas de areia para ajudar a impedi-los de assumir o controle de máquinas host. É um esforço que permitiu à equipe ficar à frente dos atacantes, mas apenas por pouco. Pior ainda, eles estão alcançando os limites do que é possível com o sandbox e o isolamento do site .
Também é um problema que não se limita ao Google. A maioria das vulnerabilidades encontradas no iOS e no macOS também são causadas pela falta de segurança da memória. A Microsoft disse no verão passado que 70% das vulnerabilidades de segurança que corrige e atribui um número CVE (Vulnerabilidades e Exposições Comuns) são devido a problemas de segurança de memória. E, de acordo com essa análise, mais de 80% das vulnerabilidades de Zero Day são causadas por problemas de memória.
Como o sandboxing mais forte não é mais vantajoso e implementa processos adicionais fora da mesa, o Google disse que deve atacar os problemas de insegurança da memória por “todo e qualquer meio necessário”. Isso inclui explorar bibliotecas C ++ personalizadas e utilizar linguagens mais seguras, como JavaScript, Rush e Swift, quando aplicável.
Saiba mais em nosso setor de segurança digital.
