“沙盒”保护层
施奈尔的疑问在于,Chrome或其他软件是否可以有效地将恶意软件阻挡在“沙盒”之内,同时还能让应用程序平滑地运行。施奈尔指出,Java就是为“沙盒”设计的编程语言,但在为应用程序创建虚拟隔离墙的同时,也限制了它们对于本地计算机资源的访问。
另外,Java的内在缺陷时常导致虚拟犯罪分子打破这些隔离墙,并运行谷歌希望阻止运行的恶意软件。安全研究人员已经指出,VMware等虚拟技术很易出现“虚拟机逃逸”(virtual machine escape)问题,使程序突破虚拟边界劫持本地电脑权限。
SANS网络安全研究人员乔纳斯·乌尔里奇(Johannes Ullrich)指出,编写一个突破虚拟边界的程序并非易事,而“沙盒”也为网络安全另外增加了保护层。但乌尔里奇指出,Chrome的安全将取决于其代码中可能存在的漏洞的类型以及这些漏洞发生的频率,这些漏洞也可能导致用户成为恶意软件捕获的对象。乌尔里奇称:“‘沙盒’提供了另外一层防护,但一旦有人突破这个防线,所有的人都可以利用简单的脚本攻破它。”
这意味着安全研究人员要尽快找到Chrome代码中的漏洞,而这也是虚拟犯罪分子的目标,这无需耗费太多时间。Mozilla在6月份发布最新版火狐后仅几个小时,安全厂商Tipping Point就收到了安全报告,称火狐中存在可以让网站在用户电脑中安装恶意软件的漏洞。
安全专家、White Hat Security CTO杰雷米亚·格罗斯曼(Jeremiah Grossman)表示,或许Chrome有所不同,但这将取决于哪一方首先发现软件中的漏洞。他预测称,Chrome的第一个漏洞将会在24小时内被发现。格罗斯曼称:“即使拥有所有正确的设计概念,但如果忘记一行代码,一切都毫无意义。”
网友评论