Работа Apple над усилением защиты распределителя памяти усложнила злоумышленникам возможность использования определенных классов уязвимостей программного обеспечения на устройствах iOS и Mac, написали инженеры компании по безопасности на новом веб-сайте, запущенном Apple для обмена техническими подробностями о технологиях безопасности iOS и MacOS.
Новая инициатива, Исследования безопасности Apple, также предлагает инструменты, помогающие исследователям безопасности сообщать о проблемах в Apple, получать обновления статуса отправленных отчетов в режиме реального времени, безопасно общаться с инженерами Apple, исследующими проблему, и предоставлять информацию о Программа Apple Security Bounty. Цель нового центра безопасности — поделиться с исследовательским сообществом тем, как инженеры Apple решают проблемы безопасности, а также предложить исследователям внести свой вклад и оставить отзывы.
Безопасность памяти является ключевым направлением, тем более что нарушения безопасности памяти наиболее широко эксплуатируемый класс программных уязвимостей. На платформах Apple повышение безопасности памяти включает в себя «поиск и устранение уязвимостей, разработку с использованием безопасных языков и масштабное развертывание средств защиты», — написали инженеры в техническом посте на Безопасность памяти XNU.
XNU — это ядро, лежащее в основе iPhone, iPad и Mac.
Большая часть кода, работающего на iPhone, iPad и Mac, была написана с использованием «небезопасных для памяти» языков программирования, что означает, что они не предотвращают нарушения безопасности памяти, и разработчики могут непреднамеренно и неосознанно нарушать правила безопасности памяти при написании кода, считают исследователи. написал. Эти проблемы могут быть использованы злоумышленниками для сбоя программного обеспечения, выполнения несанкционированных команд и сбора конфиденциальной информации.
Невозможно переписать большие объемы существующего кода с использованием безопасных для памяти языков, поэтому «улучшение безопасности памяти является важной задачей для инженерных групп по всей отрасли», — написали инженеры.
Apple заложила основу для усиленного распределителя памяти kalloc_type еще в iOS 14, когда он представил куча, разделение данных и секвестрирование виртуальной памяти. Apple добавила рандомизированную изоляцию сегментированного типа к распределителю зон, когда представила kalloc_type в iOS 15. С выпуском iOS 16 и macOS Ventura усиленный распределитель теперь доступен во всех системах, использующих ядро XNU.
«Наша основная стратегия заключается в разработке распределителя, который делает использование большинства уязвимостей, связанных с повреждением памяти, ненадежным по своей сути», — пишут исследователи. «Это ограничивает влияние многих ошибок безопасности памяти еще до того, как мы узнаем о них, что повышает безопасность для всех пользователей».
В сообщении Apple о своей программе вознаграждений компания сообщила, что за последние два с половиной года с момента запуска программы она выделила исследователям в области безопасности около 20 миллионов долларов. В то время как средние выплаты в категории продуктов составляют около 40,000 20 долларов США, компания выплатила 100,000 отдельных вознаграждений на сумму более XNUMX XNUMX долларов США за важные проблемы. Критерии оценки, которым должны соответствовать исследователи, чтобы получать награды, доступны в Apple Security Research.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
