Google Chrome: Der Großteil aller Sicherheitslücken im Browser haben die gleiche Ursache – Abhilfe möglich
Etwa alle sechs Wochen veröffentlicht Google eine neue Version des Chrome-Browsers und dazwischen kann es immer wieder kleinere Sicherheitsupdates geben, die dringliche Bugs und Sicherheitslücken beheben. Wie eine interessante Studie nun zeigt, könnte sich Google durch einen internen Wechsel sehr viel Arbeit ersparen, denn 70 Prozent aller Sicherheitslücken haben die gleiche Ursache – Tendenz aktuell steigend.
Es gibt kein perfektes Softwareprodukt. In jeder Software finden sich Sicherheitslücken oder Bugs, selbst wenn dahinter Milliardenkonzerne mit ausreichend Manpower stehen – das war schon immer so und wird vermutlich auch immer so bleiben. Gerade bei weit verbreiteten Produkten haben Sicherheitslücken natürlich eine ganz andere Relevanz als bei kleinen Projekten, sodass auch Google mit allen Produkten von Android bis Chrome monatlich Hunderte Lücken stopfen muss.
Sicherheitsforscher haben nun alle Chrome-Sicherheitslücken der letzten fünf Jahre untersucht, die den Status „problematisch“ oder „kritisch“ hatten und kamen zu einem überraschenden Ergebnis: 70 Prozent aller Lücken hatten die gleiche Ursache – nämlich das Speichermanagement. Konkret geht es um nicht mehr verwendete Variablen oder Zeiger, die nicht freigegeben oder zerstört werden und so Angreifern Tür und Tor öffnen. Natürlich mittlerweile deutlich komplizierter, aber der Ursprung liegt an dieser Stelle.
Laut Google haben 125 der 130 aktuellsten Sicherheitslücken im Chrome-Browser ihren Ursprung im Speichermanagement, sodass die Tendenz zumindest aktuell stark ansteigt. Der Hauptgrund für dieses Problem sind die in manchen Kreisen als unsicher geltenden Programmiersprachen C und C++, die von Google bis heute für weite Teile von Chrome verwendet werden. Würde man auf eine alternative Programmiersprache mit automatisierter Speicherverwaltung umsteigen, hätte man deutlich weniger Probleme – so die Sicherheitsforscher.
Ob sich durch einen Umstieg, den man natürlich nicht mal eben durchführen kann, tatsächlich gut Dreiviertel aller Sicherheitslücken in Luft auflösen lassen würden, lässt sich in der Theorie nur schwer sagen. Ein Wechsel scheint aber unter den Umständen durchaus attraktiv.
Android Messages: Googles Messenger soll sichere Ende-zu-Ende-Verschlüsselung für RCS ermöglichen
[ZDNet]
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
… und was für Sicherheitslücken *bekommt* man dafür umgekehrt wieder rein?
Es ist ja nicht so, dass das eine neue Erkenntnis wäre, dass das manuelle Speichermanagement fehleranfällig aber performant ist. Aber automatisches Speichermanagement ist auch kein Allheilmittel, und dann jammern wieder alle dass der Browser langsamer und speicherhungriger wird…