Resim: Midjourney
Ulusal Siber Direktörünün (ONCD) Beyaz Saray ofisi, bugün teknoloji şirketlerini Rust gibi bellek güvenli programlama dillerine geçmeye ve bellek güvenliği güvenlik açıklarının sayısını azaltarak yazılım güvenliğini artırmaya çağırdı.
Bu tür güvenlik açıkları, yazılım içindeki bellek erişilebildiğinde, yazılabildiğinde, tahsis edilebildiğinde veya dağıtılabildiğinde bellek yönetimi sorunlarına yol açabilecek kodlama hataları veya zayıflıklardır.
Yazılım belleğe istenmeyen veya güvensiz yollarla eriştiğinde ortaya çıkar, bu da çeşitli güvenlik riskleri ve arabellek taşması gibi sorunlara neden olur, ücretsiz olarak kullanılır, başlatılmamış bellek kullanımı ve saldırganların sömürebileceği çift ücretsizdir.
Başarılı sömürü, ciddi riskler taşır, bu da potansiyel olarak tehdit aktörlerinin verilere yetkisiz erişim elde etmelerini veya sistem sahibinin ayrıcalıklarıyla kötü amaçlı kod yürütmesini sağlar.
ONCD'nin raporu, "35 yılı aşkın bir süredir aynı güvenlik açığı sınıfı dijital ekosistemi canlandırdı. Yazılım güvenlik açıklarının tamamını ortadan kaldırmanın zorluğu acil ve karmaşık bir sorundur. İleriye baktığımızda, bu riski azaltmak için yeni yaklaşımlar alınmalıdır." .
"Bellek güvenliği güvenlik açıklarını azaltmak için en yüksek kaldıraç yöntemi, siber uzayın yapı taşlarından birini güvence altına almaktır: programlama dili. Bellek güvenli programlama dillerini kullanmak, çoğu bellek güvenliği hatasını ortadan kaldırabilir."
Bugünkü rapor, Mart 2023'te Başkan Biden tarafından imzalanan ve ülkenin siber alanını yazılım satıcılarına ve hizmet sağlayıcılarına karşı savunma yükünü değiştiren ulusal siber güvenlik stratejisi üzerine kuruluyor.
Ulusal Güvenlik Ajansı (NSA) ayrıca Kasım 2022'de yazılım geliştiricilerinin yazılım bellek güvenliği sorunlarını nasıl önleyebileceği konusunda rehberlik yayınladı.
Aralık 2023'te CISA ve Uluslararası Partners'tan benzer bir rapor izleyerek, bellekle ilgili güvenlik açıklarını ortadan kaldırarak yazılım ürünlerinin saldırı yüzeyini azaltmak için bellek güvenli programlama dillerine geçiş istedi.
Microsoft'un yıllar önce keşfettiği gibi, bellek-safe dilleri kullanılarak geliştirilen yazılımlarda tanımlanan güvenlik açıklarının yüzde 70'i bellek güvenliği endişelerinden kaynaklanmaktadır. Bu, şirketin daha da bulunduğu gibi, kapsamlı kod incelemeleri ve ek önleyici ve tespit önlemlerinden sonra bile geçerlidir.
Bununla birlikte, Google Research'ten elde edilen bulgular, bellek güvenli bir dil kullanmanın, büyük kod tabanlarında bile bellek güvenliği kusurlarının sayısını önemli ölçüde azaltabileceğini ve bazı durumlarda bunları tamamen ortadan kaldırabileceğini göstermektedir.
Teknoloji güvenliği için ulusal siber direktör yardımcısı Anjana Rajan, "Otuz beş yıl boyunca, bellek güvenliği güvenlik açıkları dijital ekosistemi rahatsız etti, ancak bu şekilde olmak zorunda değil." Dedi.
"Bu rapor mühendisler için mühendisler için oluşturuldu çünkü tükettikleri yapı taşları hakkında mimari ve tasarım kararları alabileceklerini biliyoruz - ve bunun tehdit yüzeyini azaltma, dijital ekosistemi koruma ve nihayetinde, bu kadar büyük bir etkisi olacak. millet."
Zum Yamaları Windows uygulamalarında kritik ayrıcalık yükseklik kusuru
ExpressVPN Bug yıllardır bazı DNS isteklerini sızdırıyor
Fortra, yeni eleştirel Goanywhere Mft Auth Bypass'ı uyarıyor, şimdi yama
Yeni Terrapin Saldırılarına karşı savunmasız yaklaşık 11 milyon SSH sunucusu
Blackcat Fidye Yazılımına Bağlı UnitedHealth iştiraki Optum Hack
Kaynak: Bleeping Computer