[新聞] Adobe剛改善Flash安全,Zerodium就祭出16.5萬美元獎金懸賞破解方法
Adobe剛改善Flash安全,Zerodium就祭出16.5萬美元獎金懸賞破解方法
Adobe甫於去年底宣布多項改善Flash安全性的措施,本周漏洞收購業者Zerodium就祭出了
16.5萬美元(台幣553萬元)的總獎金徵求繞過Flash堆積隔離(heap isolation)安全機
制的方法。
Adobe的Flash Player因經常爆出嚴重漏洞而招致批評,使得Adobe近來疲於強化Flash
Player的安全性,去年12月上旬Adobe一口氣修補了78個與Flash Player有關的安全漏洞
,同時宣布多項安全改善措施,其中一項便是堆積隔離。
堆積區域指的是程式執行時用來建立或釋出內部資料的地方,所謂的堆積隔離則是建立一
個新的堆積區域來儲存內部物件,讓受到攻擊或感染的物件仍維持在預設的堆積區域,
Bromium Labs的首席安全研究人員Jared DeMott形容,就好像是讓頑皮的小孩跟乖巧的小
孩使用不同的遊樂場一樣。
Adobe則說,他們重新撰寫了記憶體管理員,以廣泛部署堆積隔離,此舉將能限制駭客利
用「使用已釋放記憶體」(use-after-free)安全漏洞的能力。
不過,曾高價收購iOS漏洞的Zerodium本周透過Twitter宣布,將提供16.5萬美元的總獎金
給找到方法繞過堆積隔離安全機制的駭客或研究人員。
Zerodium在蒐集漏洞及攻擊途徑後,會將相關資料銷售給客戶,宣稱主要的客戶來自國防
、科技及金融領域等需要防衛零時差攻擊的企業,但也有人擔心Zerodium的作法將會影響
資安生態,因為Zerodium所提供的價碼高過Google及微軟等業者所祭出的抓漏獎勵,除了
助長漏洞銷售的商業行為之外,也會挖掘出更多的漏洞而增加安全風險。
iThome
http://www.ithome.com.tw/news/102918
------
看來新版的Adobe Flash Player在安全性的部份又增強了
這次主要是將Isolated Heap的部份實做在Flash Player上
而在這之前,IE 11、Chrome、Firefox則針對瀏覽器物件的部份也有相關的實做了
只不過未來難保相關的保護機制不會被突破就是了
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.41.143.195
※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1452176045.A.EEB.html
※ 編輯: Kitakami (114.41.143.195), 01/07/2016 22:36:15
推
01/07 22:51, , 1F
01/07 22:51, 1F
→
01/07 23:23, , 2F
01/07 23:23, 2F
→
01/07 23:24, , 3F
01/07 23:24, 3F
推
01/08 11:28, , 4F
01/08 11:28, 4F
推
01/08 13:41, , 5F
01/08 13:41, 5F
→
01/08 13:42, , 6F
01/08 13:42, 6F
→
01/08 13:42, , 7F
01/08 13:42, 7F
→
01/08 15:02, , 8F
01/08 15:02, 8F
→
01/08 15:02, , 9F
01/08 15:02, 9F
→
01/08 15:11, , 10F
01/08 15:11, 10F
→
01/08 15:12, , 11F
01/08 15:12, 11F
推
01/08 23:36, , 12F
01/08 23:36, 12F
→
01/09 03:12, , 13F
01/09 03:12, 13F
→
01/09 07:52, , 14F
01/09 07:52, 14F
推
01/09 20:12, , 15F
01/09 20:12, 15F
→
01/09 20:12, , 16F
01/09 20:12, 16F
→
01/09 20:12, , 17F
01/09 20:12, 17F
→
01/09 20:12, , 18F
01/09 20:12, 18F
→
01/10 12:06, , 19F
01/10 12:06, 19F
→
01/10 12:07, , 20F
01/10 12:07, 20F
Browsers 近期熱門文章
PTT數位生活區 即時熱門文章
