Chromiumプロジェクト、重大度高いセキュリティバグの約70％がメモリに由来

　Anonymous Coward曰く、

　Chromiumプロジェクトは今週、重大度の高いセキュリティバグの約70％は、メモリの安全性に関する問題（ポインタの誤り）に由来すると発表した。これはGoogleのエンジニアが2015年以降の912の重大度の高い、もしくは重大なセキュリティバグを分析した結果から導き出させたものだという。これはユーザーのセキュリティを危険にさらすだけでなく、Chromeの修正と出荷においてコストを増大させているとしている。

　同様の問題はMicrosoftも指摘している。2019年2月のセキュリティ会議で講演したMicrosoftのエンジニアは過去12年間、Microsoft製品のすべてのセキュリティアップデートの約70％がメモリの安全性が原因だったと指摘している。端的に言えば、コードベースで2つの主要なプログラミング言語であるCとC++は「安全でない」言語であるということになる。

　Googleによると2019年3月以降、重大度の高いChrome脆弱性130個のうち、125はメモリ破損に関連する問題だった。他のバグクラスの修正が進んだにもかかわらず、メモリ管理が依然として問題であるとしている。Mozillaは、CおよびC++の修正をするのをあきらめ、FirefoxでRustプログラミング言語を後援、促進、大幅に採用することで大きな進歩を遂げた。MicrosoftもCおよびC++の代替に多大な投資をしている。

　今週、Googleも同様の計画を発表した。今後、Googleは、メモリ関連のバグに対する保護を強化したライブラリであるカスタムC++ライブラリの開発を検討する予定であると述べている。またGoogleは可能な限り「安全な」言語の使用を検討する計画があるとも述べている。候補には、Rust、Swift、JavaScript、Kotlin、およびJavaが含まれているようだ（The Chromium Projects、Slashdot）。

　スラドのコメントを読む | セキュリティセクション | Chrome | セキュリティ | プログラミング | バグ

　関連ストーリー：
systemdの不具合について、「安全ではない言語を使っている」のが原因との指摘 2016年10月06日
オープンソースソフトウェアの脆弱性、2019年は前年から50％近く増加したとの調査結果 2020年03月14日
Microsoft、C言語を拡張した「Checked C」をオープンソース化 2016年06月19日
C言語は滅びるべきか 2017年07月20日