Der Entwickler von curl hat die Sicherheitsprobleme, die in der Vergangenheit entdeckt wurden, sich genauer angesehen: »half of curl’s vulnerabilities are C mistakes«. Interessant bei der Analyse finde ich:

Analyse von Google

Von Google gibt es eine Reihe von Analysen, die zu ähnlichen Ergebnissen kommen:

  1. Google Online Security Blog: Data Driven Security Hardening in Android
  2. Google now supports Rust for Android OS development
  3. Google Online Security Blog: Rust in the Android platform
  4. Android Developers Blog: Queue the Hardening Enhancements

    • 59 % der Fehler sind Speicherfehler (1); in (2) wird sogar von 70 % gesprochen: »memory safety bugs continue to be a top contributor of stability issues, and consistently represent ~70 % of Android’s high severity security vulnerabilities.«
    • »memory bugs occur in new or recently modified code, with about 50 % being less than a year old« (1) und (3)
    • »Use-after-free (UAF), integer overflows, and out of bounds (OOB) reads/writes comprise 90 % of vulnerabilities with OOB being the most common.« (4)

Analyse von Microsoft

Microsoft kommt in einer Untersuchung auch zu diesen Ergebnissen: