谷歌工程师本周表示,Chrome代码库中约70%的严重安全缺陷是内存管理漏洞,与微软共享的统计数据大致相同。
在2019年2月的一次安全会议上,微软工程师表示,在过去的12年里,大约70%的微软产品安全更新是为了解决内存安全漏洞。
谷歌工程师还表示,这70%的漏洞有一半没有被利用,但这是一种由不正确的指针管理引起的安全问题,为攻击者攻击Chrome的内部组件提供了条件。
谷歌表示,这个百分比是在谷歌工程师分析了自2015年以来Chrome稳定分支中修复的912个安全漏洞后总结出来的,这些漏洞基本上具有“高”或“严重”的威胁级别。
Google的内存问题主要是由于早期代码中不可信的信息输入和处理,没有沙盒的代码运行环境,以及使用了C、C等不安全的语言,有报道要求Google工程师在设计新的Chrome函数时,他们的代码不要超过这三个条件中的一个,以免出现新的内存管理错误。
