Chrome: Viele schwere Bugs haben seit Jahren die gleiche Ursache
by Christian KahleDer allergrößte Teil der Sicherheitsprobleme im Chrome-Browser resultiert aus einem fehlerhaften Umgang mit dem Speicher-Management. Dieses Problem ist auch von anderswo bekannt. Und Lösungsansätze sollen bereits auf dem Weg sein. Im Chromium-Team Googles hat man jetzt auch mal die zahlreichen behobenen Bugs der letzten Jahren genauer unter die Lupe genommen. Es zeigte sich hier, dass rund 70 Prozent der Fehler im Speichermanagement begründet waren. Dieser Wert kristallisierte sich heraus, nachdem man über 900 Schwachstellen der Jahre seit 2015 angeschaut hatte, die als "kritisch" eingestuft wurden, berichtet das US-Magazin ZDNet.
Das Problem ist allerdings keineswegs auf Google beschränkt, beziehungsweise hat dieser Konzern nicht zufällig besonders viele Programmierer mit einer Schwäche im Speichermanagement. Eine ähnliche Untersuchung bei Microsoft, bei der sogar die Schwachstellen der letzten 12 Jahre untersucht wurden, kam ebenfalls auf einen Wert von um die 70 Prozent.
Lösungen gesucht
Der hohe Anteil wird unter anderem auch darauf zurückgeführt, dass in den Entwicklungsabteilungen weiterhin C und C++ eine große Rolle spielen. Beide Sprachen sind bekannt für ihre unsichere Basis, wenn es um das Speichermanagement geht. Das zeigt sich beispielsweise auch daran, dass die Hälfte der fraglichen Fehler im Chromium-Code so genannte Use-after-free-Bugs sind. Hier wird schlicht falsch mit den Pointern umgegangen, die bei unzureichenden Aufräumarbeiten Einfallstore für Exploits öffnen.
Bei Microsoft und auch bei Mozilla reagiert man auf das Problem unter anderem damit, dass verstärkt Programmiersprachen zum Einsatz kommen, die bereits von Haus aus bessere Schutzmaßnahmen mitbringen. Bei Google setzt man hingegen darauf, die einzelnen Komponenten des Chromium-Codes in einzelne Sandboxes einzukapseln, um Angriffe zu erschweren. Und es werden intern neue Libraries bereitgestellt, die von sich aus mit einem besseren Speicherschutz ausgestattet sind und den Programmierern so Arbeit abnehmen sollen.