Google: Hoeveelheid memory safety-kwetsbaarheden met een factor duizend gedaald door omarming Rust
Google meldt dat door het omarmen van Rust voor Android-beveiliging de hoeveelheid memory safety-kwetsbaarheden met een factor duizend is gedaald ten opzichte van de C en C++ code van Android. Daarnaast worden aanpassingen in Rust vier keer minder vaak teruggedraaid en is Google 25% minder tijd kwijt aan het reviewen van code.
Het Amerikaanse techbedrijf wil het gebruik van Rust binnen de softwarestack van Android gaan verbreden. Naast eigen apps en software-libraries zet het bedrijf Rust nu ook in de Linux-kernel en firmware. Daarnaast introduceerde Google onlangs de eerste Rust-driver in de Android 6.12 kernel. Ook meldt het techbedrijf met partners als ARM en Collabora te werken aan een Rust-gebaseerde GPU-driver voor kernelmodus.
Het wijst erop dat Rust niet volledig immuun is voor memory safety-kwetsbaarheden. Zo is een lineaire bufferoverflow in CrabbyAVIF (CVE-2025-48530) ontdekt en verholpen. Het techbedrijf stelt dat Rust dan ook gecombineerd moet worden met beveiligingslagen zoals de Scudo-hardened allocator. Zo voorkwam Scudo in dit geval de exploitatie van de kwetsbaarheid en hielp het probleem te identificeren.
Rust is een zegen voor de IT-sector. En het kan nooit helemaal memory safe zijn vanwege dat de hardware zelf 'undefined behaviour' vertoont, waardoor elke uitzondering in een 'unsafe' blok staat, met voor elke regel code een pagina aan uitleg waarom en hoe precies het absoluut nodig is. Vergelijk die kwaliteit eens met C/C++ (hebben ze hier dus gedaan) en Rust blijkt 1000x veiliger op het gebied van geheugenbeheer.
https://source.android.com/docs/security/test/scudo
Verder wordt al dan niet 'hardware assisted' ASan (Address sanitizer) genoemd als betere (statische code analysis) tool om geheugenproblemen te detecteren voor C / C++.
Beide tools hebben niets met Rust van doen en ondanks de tools blijft memory safety onder Rust een factor 1000 (!) beter.
Misschien toch eens een kijkje nemen op https://rust-lang.org
Rust is een zegen voor de IT-sector. En het kan nooit helemaal memory safe zijn vanwege dat de hardware zelf 'undefined behaviour' vertoont, waardoor elke uitzondering in een 'unsafe' blok staat, met voor elke regel code een pagina aan uitleg waarom en hoe precies het absoluut nodig is. Vergelijk die kwaliteit eens met C/C++ (hebben ze hier dus gedaan) en Rust blijkt 1000x veiliger op het gebied van geheugenbeheer.
Video van Mental Outlaw over dit onderwerp:
https://youtu.be/5NeRkZ1A4zY
Ik vrees dat ik te lui ben om het allemaal zelf uit te zoeken, haha!
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Functionaris Gegevensbescherming
Ben jij die onafhankelijke expert die privacy naar een hoger plan tilt? Als Functionaris Gegevensbescherming (FG) krijg je bij ons een unieke uitdaging: jij bent hét toezichthoudend én adviserend geweten op privacygebied voor maar liefst vier gemeenten: Venray, Peel en Maas, Horst aan de Maas en Beesel.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.