Apple lansează un nou centru de cercetare de securitate PlatoBlockchain Data Intelligence. Căutare verticală. Ai.

Apple lansează un nou centru de cercetare în domeniul securității

Marca temporală: 27 octombrie 2022 9:00

Apple’s work on hardening the memory allocator has made it harder for attackers to exploit certain classes of software vulnerabilities on iOS and Mac devices, the company’s security engineers wrote on a new website Apple launched to share technical details behind iOS and MacOS security technologies.

Noua initiativa, Cercetare de securitate Apple, oferă, de asemenea, instrumente pentru a ajuta cercetătorii de securitate să raporteze probleme către Apple, să obțină actualizări de stare în timp real pentru rapoartele trimise, să comunice în siguranță cu inginerii Apple care investighează problema și să furnizeze informații despre Programul Apple Security Bounty. Intenția din spatele noului hub de securitate este de a împărtăși comunității de cercetare modul în care inginerii Apple abordează provocările de securitate și, de asemenea, de a invita contribuțiile și feedback-ul cercetătorilor.

Siguranța memoriei este un domeniu cheie de atenție, mai ales că încălcările siguranței memoriei sunt cea mai exploatată clasă de vulnerabilități software. On Apple platforms, improving memory safety includes “finding and fixing vulnerabilities, developing with safe languages, and deploying mitigations at scale,” the engineers wrote in a technical post on Siguranța memoriei XNU.

XNU este nucleul de bază al iPhone-urilor, iPad-urilor și Mac-urilor.

Much of the code running on the iPhone, iPad, and Mac were written using “memory-unsafe” programming languages, which means they don’t prevent memory safety violations and developers can inadvertently and unknowingly violate memory safety rules while writing code, the researchers wrote. Those issues can be exploited by attackers to crash software, execute unauthorized command, and harvest sensitive information.

It is infeasible to rewrite large amounts of existing code using memory-safe languages, so “improving memory safety is an important objective for engineering teams across the industry,” the engineers wrote.

Apple a pus bazele alocatorului de memorie întărit kalloc_type înapoi în iOS 14 când a fost introdus kheaps, împărțirea datelor și sechestrarea memoriei virtuale. Apple a adăugat izolarea de tip bucketed randomizat la alocatorul de zone când a fost introdus kalloc_type în iOS 15. Odată cu lansarea iOS 16 și macOS Ventura, alocatorul întărit este acum disponibil pe toate sistemele care utilizează nucleul XNU.

“Our fundamental strategy is to design an allocator that makes exploiting most memory corruption vulnerabilities inherently unreliable,” the researchers wrote. “This limits the impact of many memory safety bugs even before we learn about them, which improves security for all users.”

In Apple’s update on its bounty program, the company said it has awarded close to $20 million to security researchers over the past two-and-a-half years since the program was launched. While average payouts are around $40,000 in the product category, the company has paid 20 separate rewards over $100,000 for high-impact issues. Evaluation criteria researchers need to meet in order to collect bounties are available on Apple Security Research.

Timestamp-ul:

Mai mult de la Lectură întunecată