Новости и события » Общество » Google исправит целый класс уязвимостей в памяти Android 11

Google исправит целый класс уязвимостей в памяти Android 11

Google исправит целый класс уязвимостей в памяти Android 11

Компания Google поделилась подробностями о борьбе с проблемами памяти в Android 11, а также о других улучшениях безопасности, которые появятся в следующей версии ОС. Одно из главных улучшений в новой версии операционной системы связано с инициализацией памяти, которая, как ожидается, устранит целый класс уязвимостей в C/C ++ - проблемы неинициализированной памяти.

Подобные уязвимости обычно появляются, когда память используется без предварительной инициализации известного безопасного значения. Как пояснили специалисты, переменная имеет прежнее значение, которое злоумышленники могут предугадать и даже контролировать. Это может привести к раскрытию информации, включая обход технологии ASLR (рандомизация расположения адресного пространства) или перехват потока управления с использованием техники распыления стека или кучи (Heap Spray).

"На практике использование неинициализированной памяти трудно обнаружить. Такие проблемы могут оставаться в кодовой базе незамеченными годами, если в большинстве случаев память инициализируется неким "безопасным" значением. Когда неинициализированная память приводит к проблеме, часто бывает сложно определить ее источник, особенно если она редко появляется. Устранение целого класса таких ошибок намного эффективнее, чем поиск их по отдельности", - отметила Google.

Альтернативой является автоматическая инициализация переменных стека, которая инициализирует локальные переменные либо с нулями, либо с шаблоном: первый безопаснее для строк, указателей, индексов и размеров, а второй, как правило, безопаснее для возвращаемых значений.

С выпуском Android 11 Scudo заменит jemalloc в качестве стандартного распределителя памяти по умолчанию. Scudo может помочь выявить и предотвратить эксплуатацию уязвимостей повреждения памяти кучи, таких как двойное освобождение, произвольное освобождение, переполнение буфера в куче и использование после освобождения.

Новая версия Android также содержит встроенный в Scudo инструмент обнаружения уязвимостей кучи GWP-ASan и поддержку ядра HWASAN.

Android


Сучасні та економічні методи зведення будівель

Сучасні та економічні методи зведення будівель

У сучасному будівництві швидкість, економічність та універсальність є ключовими факторами при виборі технологій і матеріалів. Швидкомонтовані сталеві будівлі повністю відповідають цим вимогам, завдяки чому вони набувають великої популярності у різних сферах...

сегодня 10:39

Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх