Adobe剛改善Flash安全,Zerodium就祭出16.5萬美元獎金懸賞破解方法
Adobe甫於去年底宣布多項改善Flash安全性的措施,本周漏洞收購業者Zerodium就祭出了
16.5萬美元(台幣553萬元)的總獎金徵求繞過Flash堆積隔離(heap isolation)安全機
制的方法。
Adobe的Flash Player因經常爆出嚴重漏洞而招致批評,使得Adobe近來疲於強化Flash
Player的安全性,去年12月上旬Adobe一口氣修補了78個與Flash Player有關的安全漏洞
,同時宣布多項安全改善措施,其中一項便是堆積隔離。
堆積區域指的是程式執行時用來建立或釋出內部資料的地方,所謂的堆積隔離則是建立一
個新的堆積區域來儲存內部物件,讓受到攻擊或感染的物件仍維持在預設的堆積區域,
Bromium Labs的首席安全研究人員Jared DeMott形容,就好像是讓頑皮的小孩跟乖巧的小
孩使用不同的遊樂場一樣。
Adobe則說,他們重新撰寫了記憶體管理員,以廣泛部署堆積隔離,此舉將能限制駭客利
用「使用已釋放記憶體」(use-after-free)安全漏洞的能力。
不過,曾高價收購iOS漏洞的Zerodium本周透過Twitter宣布,將提供16.5萬美元的總獎金
給找到方法繞過堆積隔離安全機制的駭客或研究人員。
Zerodium在蒐集漏洞及攻擊途徑後,會將相關資料銷售給客戶,宣稱主要的客戶來自國防
、科技及金融領域等需要防衛零時差攻擊的企業,但也有人擔心Zerodium的作法將會影響
資安生態,因為Zerodium所提供的價碼高過Google及微軟等業者所祭出的抓漏獎勵,除了
助長漏洞銷售的商業行為之外,也會挖掘出更多的漏洞而增加安全風險。
iThome
http://www.ithome.com.tw/news/102918