Devs do Google Chrome tentam resolver falhas do C++ no navegador

Devs do Google Chrome tentam resolver falhas do C++ no navegador

Por Dácio Castelo Branco | Editado por Claudio Yuge | 27 de Maio de 2022 às 18h30
Canaltech/Felipe Freitas

Os desenvolvedores do Google Chrome estão estudando maneiras de reduzir as falhas de segurança do banco de código C++ do navegador — e eles acreditam que a utilização de alocação dinâmica pode ser a solução.

A solução definitiva para esses problemas de segurança do Chrome seria o navegador migrar do C++ para uma linguagem como a Rust, que conta com medidas de proteção para superiores - mas esse processo não pode ser realizado de forma tão rápida, o que faz com que a procura por outras medidas se intensifique.

Um esquema demonstrando como a "quarentena de memória" e o heap scanning funcionam. (Imagem: Reprodução/Google)

O método atualmente estudado pelos desenvolvedores do Chrome envolve a chamada “quarentena de memória”, que, quando aplicada junto do escaneamento do heap scanning (escaneamento de memória alocada dinamicamente, em tradução livre), pode evitar falhas como buffer overflow e use-after-free, que estão envolvidas em 70% de todas as falhas do navegador. Segundo o Google, essas duas medidas funcionam garantindo a segurança temporária de partes da memória que podem estar sendo utilizadas em outros processos, evitando assim situações em que o fluxo de uma aplicação cause um overflow — que, por sua vez, pode permitir a execução de código arbitrário por invasores.

Requisito de hardware

Ao passo que os testes com a quarentena de memória e o heap scanning são funções que podem ajudar a mitigar falhas de segurança, sua adoção ainda depende de hardwares que utilizam arquiteturas ARM de 2019 para frente, que apresenta o sistema de Memory Tagging (MTE), ferramenta capaz de ajudar softwares a identificarem possíveis erros de execução — mas até o momento, esse tipo de tecnologia ainda não foi amplamente adotada no mercado, tornando a solução idealizada pelos desenvolvedores do Chrome algo um pouco distante, já que em casos testados pelos desenvolvedores do navegador em padrões anteriores, a performance do dispositivo sofria graves impactos.

No comunicado oficial sobre esses estudos, os desenvolvedores do Google Chrome afirmam, porém, acreditar que o MTE será mais amplamente adotado no futuro — possibilitando assim que a solução envolvendo heap scanning para o banco de código de C++ do navegador possa ser utilizada.

Fonte: Google

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.