19 oct. 2020

Arquitectura CHERI podría reducir la cantidad de parches de MS y permitir el desarrollo de apps seguras

Microsoft, que publica unos 100 parches cada mes, está trabajando en una nueva arquitectura experimental que podría ser incluso más valiosa y barata que migrar a Rust. Desde hace algún tiempo, Rust ha sido visto como un potencial reemplazo de C++ en lo relativo a escribir algunos componentes de Windows.

Hay quienes consideran que C++ es anticuado y la propia Microsoft incluso reconoce que el cambio a Rust podría eliminar la necesidad constante de parches de seguridad. Tal suposición se debe principalmente a que la mayoría de las vulnerabilidades gravitan en torno a la seguridad de la memoria, aspecto supuestamente inherente a C++.

Sin embargo, hay razones para suponer que Microsoft no migrará a Rust a corto plazo, ya que la compañía está trabajando en una nueva arquitectura experimental que podría ser aún más valiosa.

Llamado CHERI (Capability Hardware Enhanced RISC), la infraestructura podría haber mitigado cerca de dos tercios de las vulnerabilidades de seguridad de la memoria que tuvieron que ser parcheadas en 2019, según ZDNet .

"[CHERI] proporciona características de protección de la memoria contra muchas vulnerabilidades explotadas, o en otras palabras, una solución arquitectónica que desbarata los expoits", explicaron Nicolas Joly, Saif ElSherei y Saar Amar del Centro de Respuesta de Seguridad de Microsoft.

El trabajo en las arquitecturas de conjuntos de instrucciones (ISA) de CHERI está en marcha en la Universidad de Cambridge en asociación con el diseñador de chips RISC Arm y Microsoft. CHERI tiene objetivos similares a Project Verona, el desarrollo de lenguaje experimental inspirado en Rust de Microsoft para la programación de infraestructura segura. Un portavoz de la Universidad de Cambridge añadió que "CHERI amplía las arquitecturas convencionales de conjuntos de instrucciones de hardware (ISA) con nuevas características arquitectónicas para permitir una protección de la memoria granular y una compartimentación del software altamente escalable".

CHERI tiene características de protección de memoria que adaptarían los lenguajes de programación históricamente inseguros para la memoria y los harían más seguros contra vulnerabilidades ampliamente explotadas. El equipo de Microsoft revisó la séptima versión de CHERI ISA, la última versión de CHERI. Los investigadores también utilizaron CheriBSD, basado en el sistema operativo FreeBSD con protección de memoria y funciones de compartimentación de software compatibles con CHERI ISA. "Evaluamos de manera conservadora el porcentaje de vulnerabilidades informadas al Centro de respuesta de seguridad de Microsoft en 2019 y descubrimos que aproximadamente el 31% ya no representaría un riesgo para los clientes y, por lo tanto, no sería necesario abordarlo mediante una actualización de seguridad en un sistema CHERI basado en la configuración predeterminada. del sistema operativo CheriBSD", escribieron los investigadores de Microsoft en el artículo de investigación.

Fuente: ZDNet

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!