| Memory Safety | 軟體記憶體安全 | C | C++ | Rust | non-memory-safe | 緩衝區溢位 | 記憶體洩漏 | 記憶體越界寫入 | 記憶體越界讀取 | Use After Free | Prossimo | NSA

從程式語言層級確保記憶體安全,不只美國NSA建議,今年Prossimo專案也在推動

近年微軟與Google都指出,有70%重大漏洞的根因都出記憶體問題,今年來,不只美國國家安全局(NSA)在11月10日鼓勵開發者可改用C#、Go、Java、Ruby與Swift等語言,來取代C與C++,事實上,在今年5月,開源社群、科技大廠與美政府商討提升開源軟體安全對策,就已經將換不具記憶體安全的語言列為重要工作

2022-11-22

| 資安 | 安全漏洞 | Chrome | 釋放後使用漏洞 | Use After Free | 安全更新

Google緊急修補兩個已被開採的Chrome零時差漏洞

這次Google修補了2個與釋放後使用(Use After Free)有關的漏洞,該類型漏洞名列Mitre調查今年度25個常見漏洞中的第7名,能造成程式當掉,也可用來執行任意程式

2021-10-01

| Use After Free | VBScript

修補完成馬上就破功,駭客多次針對VBScript發動零時差攻擊

別以為有安裝了軟體修補程式,就能高枕無憂。根據趨勢科技與奇虎資安團隊的研究,前者在零時差弱點中,發現了同一組織多次針對VBScript下手的跡象,而且,在上個月微軟發布修補檔案後,次日便出現新的惡意軟體,針對已完成修補的VBScript引擎而來;後者的研究結果,也映證了該軟體弱點被重覆利用的情形。

2018-08-22