[新聞] Adobe剛改善Flash安全,Zerodium就祭出

作者: Kitakami (在妳身上揉來揉去)   2016-01-07 22:13:57
Adobe剛改善Flash安全,Zerodium就祭出16.5萬美元獎金懸賞破解方法
Adobe甫於去年底宣布多項改善Flash安全性的措施,本周漏洞收購業者Zerodium就祭出了
16.5萬美元(台幣553萬元)的總獎金徵求繞過Flash堆積隔離(heap isolation)安全機
制的方法。
Adobe的Flash Player因經常爆出嚴重漏洞而招致批評,使得Adobe近來疲於強化Flash
Player的安全性,去年12月上旬Adobe一口氣修補了78個與Flash Player有關的安全漏洞
,同時宣布多項安全改善措施,其中一項便是堆積隔離。
堆積區域指的是程式執行時用來建立或釋出內部資料的地方,所謂的堆積隔離則是建立一
個新的堆積區域來儲存內部物件,讓受到攻擊或感染的物件仍維持在預設的堆積區域,
Bromium Labs的首席安全研究人員Jared DeMott形容,就好像是讓頑皮的小孩跟乖巧的小
孩使用不同的遊樂場一樣。
Adobe則說,他們重新撰寫了記憶體管理員,以廣泛部署堆積隔離,此舉將能限制駭客利
用「使用已釋放記憶體」(use-after-free)安全漏洞的能力。
不過,曾高價收購iOS漏洞的Zerodium本周透過Twitter宣布,將提供16.5萬美元的總獎金
給找到方法繞過堆積隔離安全機制的駭客或研究人員。
Zerodium在蒐集漏洞及攻擊途徑後,會將相關資料銷售給客戶,宣稱主要的客戶來自國防
、科技及金融領域等需要防衛零時差攻擊的企業,但也有人擔心Zerodium的作法將會影響
資安生態,因為Zerodium所提供的價碼高過Google及微軟等業者所祭出的抓漏獎勵,除了
助長漏洞銷售的商業行為之外,也會挖掘出更多的漏洞而增加安全風險。
iThome
http://www.ithome.com.tw/news/102918
作者: Kreen (每天要更優秀一點)   2016-01-07 22:51:00
內建沙盒的概念?
作者: George017 (阿丙)   2016-01-07 23:23:00
可是Firefox的Flash不就是受累於Adobe原廠的沙盒嗎?瀏覽器、瀏覽器外掛層的bug->用EMET/Sandboxie隔絕
作者: abram (科科)   2016-01-08 11:28:00
難怪賈伯斯看不起flash 不然ipad又掛一票了
作者: hsparrot (飛高高)   2016-01-08 13:41:00
我竟然沒發現有EMET這好物,不知防禦力夠不夠高?最近決定把瀏覽器放進Sandboxie,但會跟我的輸入法打架一些操作也有點不方便,好想把瀏覽器移回去
作者: mmis1000 (秋月戀楓)   2016-01-08 15:02:00
反正還是會害瀏覽器崩潰,穩定性一樣糟糕把flash改預設關閉之前,瀏覽器原本一天都要重開2次以上chrome每個分頁是分開,當掉重開分頁就好但firefox被搞到當掉就很悲劇
作者: catclan (...)   2016-01-08 23:36:00
Flash Player真的是毒瘤耶
作者: bestpika (飛影‧忌子)   2016-01-09 03:12:00
放棄 flash 才是真的
作者: labbat (labbat)   2016-01-09 07:52:00
記憶體越吃越兇,寧可用舊版記憶體用量少的模式
作者: coolcliff01 (OTZ)   2016-01-09 20:12:00
emet 在兩台電腦上用一年了 安全效果未知 但會遇到相容性問題 要有除錯的心理準備 唯一一次跳警告是開某免空網頁 我猜應該就是加密勒索啦 另外要注意他不是防毒也不是沙盒 更不是hips
作者: George017 (阿丙)   2016-01-10 12:06:00
類似hips(靠規則不靠data),動作有問題就會跳所以可以擋0 days(要用的程式自己加/排除)

Links booklink

Contact Us: admin [ a t ] ucptt.com