加入收藏 | 设为首页 | 会员中心 | 我要投稿 西双版纳站长网 (https://www.0691zz.com.cn/)- 数据计算、IT业界、服务器、教程、云日志!
当前位置: 首页 > 服务器 > 安全 > 正文

安卓的“左倾”改变:内存安全语言

发布时间:2021-06-02 05:24:21 所属栏目:安全 来源:互联网
导读:头号威胁:内存安全 根据谷歌最新公布的安卓安全报告统计(上图),Android操作系统的严重和高危安全漏洞中,有59%是内存问题,例如内存损坏和溢出。内存安全是迄

根据谷歌最新公布的安卓安全报告统计(上图),Android操作系统的严重和高危安全漏洞中,有59%是内存问题,例如内存损坏和溢出。内存安全是迄今为止最主要的Android安全问题(59%),其次是权限绕过漏洞,占Google安全工程师在2019年修复的漏洞的21%。

不仅仅是Android系统,内存安全通常也是Java、Windows 10和Chrome等主要平台的头号安全漏洞类别。谷歌工程师去年曾表示,Chrome安全漏洞中有70%是内存安全问题。之前,曾有微软工程师透露说,其产品修复的所有错误中有70%是内存安全性问题,即允许访问超出操作系统分配的内存和地址的软件漏洞。

谷歌认为,使用更加安全的开发语言是保护Android免受恶意软件和漏洞利用的根本措施。“C和C++不能像Java、Kotlin和Rust这样的语言提供内存安全。鉴于Android安全报告中的大多数安全漏洞都是内存安全问题(上图),因此谷歌采用了两种安全策略:提高C/C++的安全性,同时也鼓励使用内存安全语言。”Google在Android安全与隐私小组的博客中指出。

出于相同的安全原因,亚马逊(AWS)和Microsoft也在推动采用Rust。Mozilla创建了Rust用于Firefox的Gecko引擎中处理与C++内存相关的安全性问题。Rust的1.0版于2015年推出,但采用率仍然较低。Microsoft希望将其用于系统编程而不是应用程序开发。AWS使用Rust构建了基于Linux的容器操作系统Bottlerocket。

数据驱动的安全强化

谷歌指出,由于安卓生态系统的多样化、安全性策略和方法以及缓解措施的的优先级决策遵循“数据驱动”。

这种以数据为依据的方法已产生了可衡量的实际结果。根据数据统计,过去一年Google修复的绝大多数Android漏洞都来自媒体、蓝牙和NFC组件。媒体库也是Google在2015年披露的Android远程利用高危漏洞Stagefright所影响的关键组件。

如今,谷歌为加强Android媒体服务器框架所做的努力已经有所回报,2020一整年都没有收到Android媒体框架远程利用漏洞报告。

安卓的“左倾”改变:内存安全语言

(编辑:西双版纳站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读