爲提高Windows 10的安全性,微軟研究人員Matthew Parkinson在本週的一次演講中披露:微軟正基於Rust開發新的安全編程語言。這個項目,被微軟稱爲“Verona"。
Verona項目主要目的是通過使用Rust開發Windows底層組件,從而讓Windows 10變得更安全。
據微軟透露,它們通過集成Rust和C/C++來移除Windows中不安全的代碼,這種嘗試達到了目標。
內存安全問題
衆所周知,在每個月的第二個禮拜,微軟都會發布修復Windows漏洞的安全補丁。而微軟最近透露,近年來發現的大部分bug都與內存安全有關,所以它們想看看是否可以使用Rust來解決這些問題。
在編程語言中,“內存安全”是指保護內存空間不受惡意程序利用。微軟的Verona項目旨在防止這類攻擊發生。
雖然Verona項目最初可能只是一種嘗試,但微軟已經取得很大的進展。
Matthew Parkinson是微軟主攻託管編程語言內存管理的研究員。在最近的一次演講中,他分享了微軟在解決內存問題方面做了哪些工作。
本次演講中,Parkinson提到了IE和Edge的MemGC(Memory Garbage Collector,內存垃圾回收器)。
MemGC(Memory Garbage Collector):內存垃圾收集器,是Edge的內存管理機制,由IE11的Memory Protector改進而來,首次在EdgeHTML和MSHTML中使用。Edge使用MemGC來管理DOM和DOM支持的對象,其採用標記清除(Mark-Sweep)算法對垃圾進行回收,能夠阻止部分UAF漏洞。
MemGC解決了與標準瀏覽器DOM相關的漏洞,給谷歌Zero項目的黑客們留下了深刻的印象。
Parkinson說:“我們爲DOM開發了一個垃圾回收器。在IE中,內存的‘釋放後使用’(use-after-free)是人們利用DOM引擎內存管理機制的常見方式。然後,微軟開發了MemGC,作爲DOM的守護垃圾回收器。它幾乎專治這種類型的漏洞,基本上把這類攻擊杜絕掉了。”
而微軟要解決的另一類bug與未初始化的內存有關。
Parkinson深入探討了一個可能會引起消費者共鳴的問題:“如何才能打造出在未來最安全的產品?我們仍然要處理遺留問題,不能把現有的東西全部都扔掉,但可以在一個更安全的系統中重建一些東西。”
Parkinson說微軟正在使用Rust重寫一些組件,他的演講主要集中在語言的設計和隔離能力上。
“如果我們想要隔離能力,把遺留代碼隔離起來,不讓攻擊者的攻擊代碼冒頭,那麼應該怎樣設計這門語言?”
Verona項目
於是,Verona項目誕生。微軟宣稱這門語言面向的是“安全的基礎設施編程”,Verona項目很“快”會開源。
據悉,這個項目得到了C#項目經理Mads Torgensen和微軟劍橋研究院工程師Juliana Franco的支持。
微軟面臨的挑戰是要覆蓋“應用程序圖譜”,從用於桌面應用程序的C#,到用於Exchange、ASP.NET、Azure和設備驅動程序的C和C#,再到深度的Windows組件,如內存管理、啓動加載器和Windows內核硬件抽象層(HAL)。
Parkinson說:“要做好內存管理很難。如果存在任意的併發衝突,要保證臨時內存安全就非常困難”。
“Rust的所有者模型基於單個對象,而Verona基於一組對象。在C++裏,程序員獲取指針,指針是基於對象的,並且基本上是一個對象一個指針。但我認爲的數據和語法不應該是這樣的,我所認爲的數據結構應該是對象的集合,集合有它自己的生命週期”。
“獲得一組對象的所有權,非常接近使用者的抽象層級,這樣就可以在安全區裏構建數據結構。”他說。
英文原文:
Microsoft: We’re creating a new Rust-like programming language for secure coding