Rust Lands in Windows 11 Kernel: A New Era for OS Security?
2024/12/26 SecurityOnline — Microsoft が打ち出した新たな方針は、同社の主力 OS のセキュリティ強化策の一環として、Rust プログラミング言語を Windows 11 カーネルに組み込むというものだ。この施策は 2023 年春から示唆されていたが、Windows 11 バージョン 24H2 のリリースにより、ついに実現した。
Continue reading “Windows 11 カーネルに Rust を導入:OS セキュリティの新時代が始まる?”Mozilla fixes Firefox zero-day actively exploited in attacks
2024/10/09 BleepingComputer — Mozilla が公表したのは、現時点で攻撃に悪用されている、Firefox の深刻な use-after-free の脆弱性に対処するための、緊急セキュリティ・アップデートのリリースである。この脆弱性 CVE-2024-9680 は、Animations タイムラインにおける use-after-free に起因するものであり、ESET の研究者 Damien Schaeffer により発見されている。このタイプの欠陥は、解放されたメモリがプログラムにより使用される前に発生し、メモリ領域への悪意のデータの注入とコード実行を、攻撃者に許すものである。
Continue reading “Mozilla Firefox ゼロデイ脆弱性 CVE-2024-9680 が FIX:積極的な悪用を観測”Google’s Shift to Rust Programming Cuts Android Memory Vulnerabilities by 68%
2024/09/25 TheHackerNews — Google が Secure-By-Design のアプローチの一環として、メモリセーフ言語 Rust などへの移行が Google で推進された結果として、Android で発見されるメモリの安全性に関する脆弱性の割合が、6年間で 76%から 24%へと減少したという。セーフ・コーディングに重点を置いた新機能の開発により、コードベースのセキュリティ・リスク全体が低減されるだけではなく、スケーラブルで費用対効果の高い開発スタイルが達成されると、同社は述べている。
Continue reading “Google の Rust プログラミングへの移行:Android のメモリ脆弱性が 68%も減少”The Safe C++ Extensions Proposal: Strengthening Security in a Complex Ecosystem
2024/09/18 SecurityOnline — 長年のメモリ安全性の懸念に対処するための決め手となる動きとして、C++ コミュニティは Safe C++ Extensions 提案を発表し、この言語における重要な瞬間を迎えようとしている。2年間にわたる綿密な議論を経て、C++ を強化することを目的とする、この提案が生まれた。C++ は、そのパワーと柔軟性で支持を得ているが、バッファ・オーバーフローや解放後使用 (UAF) エラーなどの、メモリ関連の問題に対する脆弱性が多発すると批判される言語でもある。
Continue reading “Safe C++ Extensions の提案:複雑化する開発エコシステムの強化が目的”Google Pushes Rust in Legacy Firmware to Tackle Memory Safety Flaws
2024/09/09 SecurityWeek — Google が推進しているのは、メモリ関連のセキュリティ対策の一環としての、既存の低レベル・ファームウェア・コードベースへの Rust の導入である。Google のソフトウェア・エンジニアである Ivan Lozano と Dominik Maier の最新ドキュメントによると、C や C++ で書かれたレガシー・ファームウェアのコードベースは、OS 以下の繊細なレイヤーでメモリ安全性を保証するために、“drop-in Rust replacements” を利用できるという。
Continue reading “Google が推進する Rust 化:レガシー・ファームウェアをメモリ・セーフに!”Accelerating Memory Safety: DARPA’s TRACTOR Program Transforms C to Rust
2024/08/04 SecurityOnline — 米国の国防機関である DARPA (Defense Advanced Research Projects Agency) は、C 言語から Rust への自動変換を目的とする TRACTOR プログラムを通じて、メモリ・セーフなプログラミング言語への移行を加速させている。このイニシアチブでは、レガシー C コードの Rust への変換を自動化するための、機械学習ツールを開発している。メモリ・セーフティの問題は、大規模なコードベースにおける脆弱性の、主な原因となっている。DARPA は、AI モデルがプログラミング言語の変換を支援し、ソフトウェアの安全性を高めることを期待している。
Continue reading “DARPA の TRACTOR プログラム:C → Rust 変換によりメモリ・セーフ言語へ加速”CISA: Most critical open source projects not using memory safe code
2024/06/26 BleepingComputer — 6月26日に米国の CISA が公開したレポートは、メモリ欠陥の影響の受けやすさについて、172件の主要オープンソース・プロジェクトを調べた結果をまとめたものだ。CISA/FBI/ASD (Australian Signals Directorate)/ACSC (Australian Cyber Security Centre)/CCCS (Canadian Centre for Cyber Security) によるレポートは、2023年12月に発表された “Case for Memory Safe Roadmaps” に続くものであり、メモリ・セーフなコードの重要性に対する、認識を高めることを目的としている。
Continue reading “CISA/FBI などの共同勧告:多くの OSS プロジェクトで Memory Unsafe 言語が使用されている”
IoT OT Security News 