由于频发安全漏洞,谷歌限制 IO_uring 使用


虽然 IO_uring 是近几年 Linux 内核的最大创新之一,有助于提供更高效和高性能的 I/O,但它也存在各种安全漏洞。由于持续的安全问题,该用于异步 I/O 的接口在 Google 产品中受到限制或被完全禁用。

Google 安全博客指出,Google 漏洞奖励计划中 60% 的提交都与 IO_uring 有关。而且 Google 已经为 IO_uring 漏洞奖励支付了约 100 万美元。因此,Google 认为在奖励成本和内核漏洞数量方面显示了 IO_uring 的巨大安全风险。

因此,Google 已经在 Chrome OS 中禁用了 IO_uring,直到找到一种适当的沙盒方法。

与此同时,Google 的 Android 正在使用 seccomp-bpf 过滤器,以确保应用程序无法访问 IO_uring。而未来的 Android 版本将使用 SELinux 来限制 IO_uring 仅用于选择的系统进程。

此外 Google 还在积极研究在 GKE AutoPilot 中默认禁用 IO_uring。

最后,他们已经在 Google 生产服务器上禁用了 IO_uring 的使用。

Google 安全博客继续指出:“虽然 io_uring 带来了性能优势,并通过全面的安全修复及时对安全问题做出反应(如将 5.15 版本反向移植到 5.10 稳定代码树),但它毕竟是内核中相对较新的部分。因此,虽然 io_uring 仍在继续积极开发,但也会受到严重漏洞的影响,而且它还提供了强大的可利用原语 (exploitation primitives)。基于这些原因,我们目前只认为它对仅供受信任组件的使用是安全的。”


相關推薦

2024-10-18

产品网络安全风险》。 其中提到英特尔四项安全问题:安全漏洞问题频发;可靠性差,漠视用户投诉;假借远程管理之名,行监控用户之实;暗设后门,危害网络和信息安全。 对此,英特尔今日在官微发布公告回应称: 作

2023-08-29

-project v0.1.0 (/tmp/my-project) error[E0432]: unresolved import `rustix::io_uring` --> src/main.rs:1:5 | 1 | use rustix::io_uring; | ^^^^^^^^^^^^^^^^ no `io_uring` in the root | note: found an item that was configured out --> /home/username/.cargo/registry/src/index.crates.io-6f17d22bba150

2022-08-24

丁已在 6 月发布。 ChromeOS 是一个使用 D-Bus 的操作系统。由于谷歌专有的强化措施,与 Windows 或 MacOS 相比,通常 ChromeOS 中被曝出的漏洞要更少。此次微软所发现的是 ChromeOS 特定的内存损坏漏洞。 根据介绍,该漏洞被发现于 Chr

2022-04-12

谷歌宣布了针对 Android 应用程序开发人员的几项关键策略变更,以提高用户、Google Play 和该服务提供的应用的安全性。将在 2022 年 5 月 11 日至 11 月 1 日之间生效,给开发者足够的时间来适应新的变化。 根据 BleepingComputer 介绍

2023-08-02

重新设计几个核心 I/O API,以便更好地适应 Linux 新的 io_uring 事件通知范式。 RPC 实现可能会改为默认允许取消。 值得注意的是,目前还没有计划对序列化格式或 RPC 协议进行任何向后不兼容的更改。所讨论的更改仅影

2023-11-05

谷歌宣布放弃其备受争议的 Web Environment Integrity API 提案,转而开发 Android WebView Media Integrity API。 今年 5 月份,谷歌在开发者邮件列表中宣布了其 Web Environment Integrity API,旨在作为一种限制在线欺诈和滥用的方法,同

2023-06-17

路透社援引消息人士报道称,谷歌母公司 Alphabet 正在建议其员工不要将内部机密信息输入人工智能(AI)聊天机器人,包括 ChatGPT 和他们自己的 Bard。同时还提醒其工程师,避免直接使用聊天机器人可以生成的计算机代码。 谷

2023-10-04

功能包括追踪更改、版本历史记录、文档比较和恢复。 由于自定义选项和灵活性,ONLYOFFICE 文档几乎可以适应任何屏幕。默认功能可通过第三方插件进行扩展,例如 AI 助手、缩放、谷歌翻译、文本识别、语音输入等。 ONLYOFFICE

2024-07-24

谷歌已放弃在 Chrome 中淘汰第三方 Cookie 的计划,而是推出一种新的浏览器体验,允许用户限制这些 Cookie 的使用方式。 2019 年,Mozilla Firefox 开始默认阻止第三方 Cookie,2020 年 Apple Safari 也紧随其后。谷歌于 2024 年第一季度开始

2022-09-15

据外媒 arstechnica 报道,谷歌已经输掉了与欧盟监管机构的斗争。9 月 14 日,欧盟普通法院作出裁决,维持了 2018 年 7 月对谷歌垄断行为的创纪录罚款,罪名是“将谷歌搜索 / Chrome 与 Android 系统捆绑在一起”。 当时是 43.4 亿

2022-09-23

;  其功能选项和大多数浏览器(如谷歌翻译)类似。由于该服务托管在服务器上,因此 Brave 翻译功能仍需要网络才能运转,这点与 Firefox 浏览器的翻译功能不同,Firefox 的翻译功能在本地集成,断网也能使用。 Brave 的 

2023-07-06

导者,拥有多家知名的云服务提供商,如亚马逊、微软、谷歌等。中国是云计算的快速发展者,拥有多家竞争力强劲的云服务提供商,如阿里巴巴、腾讯、华为等。 相关链接、相关信息来源: https://www.reuters.com/technology/us-set-rest

2022-10-15

。 1. 来源可控 对于引入的开源组件,通过合规检查、安全漏洞扫描、静态代码分析、动态代码分析等技术手段,确保引入openKylin社区的开源组件代码来源清晰、透明、安全。 2. 设计可控 成立安全委员会,通过建立安全基线

2022-08-02

、研究探索阶段的利器。同时降低老旧技术和组件带来的安全漏洞、技术负债、维护困难等隐患和投入。 特别是随着 Spring Security OAuth2 等老牌技术栈的停止维护、老版本技术组件安全漏洞频发、Sring Authorization Server、Spring Boot 3