Devs do Google Chrome tentam resolver falhas do C++ no navegador
Por Dácio Castelo Branco | Editado por Claudio Yuge | 27 de Maio de 2022 às 18h30
Os desenvolvedores do Google Chrome estão estudando maneiras de reduzir as falhas de segurança do banco de código C++ do navegador — e eles acreditam que a utilização de alocação dinâmica pode ser a solução.
A solução definitiva para esses problemas de segurança do Chrome seria o navegador migrar do C++ para uma linguagem como a Rust, que conta com medidas de proteção para superiores - mas esse processo não pode ser realizado de forma tão rápida, o que faz com que a procura por outras medidas se intensifique.
O método atualmente estudado pelos desenvolvedores do Chrome envolve a chamada “quarentena de memória”, que, quando aplicada junto do escaneamento do heap scanning (escaneamento de memória alocada dinamicamente, em tradução livre), pode evitar falhas como buffer overflow e use-after-free, que estão envolvidas em 70% de todas as falhas do navegador. Segundo o Google, essas duas medidas funcionam garantindo a segurança temporária de partes da memória que podem estar sendo utilizadas em outros processos, evitando assim situações em que o fluxo de uma aplicação cause um overflow — que, por sua vez, pode permitir a execução de código arbitrário por invasores.
Requisito de hardware
Ao passo que os testes com a quarentena de memória e o heap scanning são funções que podem ajudar a mitigar falhas de segurança, sua adoção ainda depende de hardwares que utilizam arquiteturas ARM de 2019 para frente, que apresenta o sistema de Memory Tagging (MTE), ferramenta capaz de ajudar softwares a identificarem possíveis erros de execução — mas até o momento, esse tipo de tecnologia ainda não foi amplamente adotada no mercado, tornando a solução idealizada pelos desenvolvedores do Chrome algo um pouco distante, já que em casos testados pelos desenvolvedores do navegador em padrões anteriores, a performance do dispositivo sofria graves impactos.
No comunicado oficial sobre esses estudos, os desenvolvedores do Google Chrome afirmam, porém, acreditar que o MTE será mais amplamente adotado no futuro — possibilitando assim que a solução envolvendo heap scanning para o banco de código de C++ do navegador possa ser utilizada.
Fonte: Google