Adobe Secures Flash, с помощью Google

flash

АНАЛИЗ НОВОСТЕЙ: После ожесточённого месяца применения нулевого дня Flash существует свет в конце туннеля, потому, что Гугл раскрывает новые способы, чтобы оказать помощь обезопасисть Flash Adobe.Adobe подвергается огромному давлению, чтобы сделать больше для обеспечения его технологии Flash player, которая упорно употреблялась в 2015.

Но Adobe не есть одним в собственных упрочнениях обезопасисть Flash, потому, что весьма главный союзник содействует существенно защите Flash – никто второй, чем Гугл.не сильный места Flash являются бессчётными, но неспециализированные являются уязвимостями памяти применения-после-свободного (UAF).

В прошлом месяце Adobe исправил Flash для 38 разных Воздействий и Общих Уязвимостей (CVEs), три из которых были идентифицированы, потому, что нулевой день применяет, которые были отысканы в нарушенных материалах итальянской Команды Взламывания поставщика совокупностей обеспечения безопасности.Но самый громадный единственный источник открытия применения Flash до сих пор в июле не был применением нулевого дня, а скорее это было от Проектной Нулевой инициативы безопасности Гугл. Adobe приписал Гугл открытие 20 CVEs в его бюллетене безопасности APSB15-16. Но как это оказывается, Гугл лишь сказал об уязвимостях в Flash; компания отправилась шаг вперед и оказывает помощь Adobe повторно добиться недостатков и не допустить их во-первых.

С обновления Flash v18.0.0.209, которое было выпущено 14 июля, Flash сейчас включает новое смягчение нападения, любезность Проектной Нулевой инициативы безопасности Гугл.Инженеры по безопасности Гугл Марк Крис и Брэнд Эванс детализируют полное смягчение в технической должности, но к чему оно вправду сводится, защита для неспециализированного класса применения UAF, которое применяет в собственных заинтересованностях не сильный места в памяти.

С целью этого существует сейчас многократное смягчение, интегрированное в последнем выпуске Flash, что сократит поверхность атаки. Одно из того смягчения есть способом, известным как разделение кучи.«Разделение кучи есть способом, что изолирует разные типы объектов на куче от друг друга», растолковывают инженеры Гугл. «Chrome применяет кучу, дробящую экстенсивно, и это стало неспециализированным защитным способом в многократных браузерах.

Мы сейчас ввели эту разработку в Flash».Второе новое смягчение, с которым Гугл оказывает помощь Adobe, есть улучшенной рандомизацией кучи Флэш-памяти. Новая идея рандомизации памяти не есть новой.

На операционных совокупностях Windows рандомизация размещения адресного пространства (ASLR) есть известной разработкой. Гугл, но, в частности улучшает память Flash более сильным, более рандомизированным методом, чем, что ОС включает самостоятельно.Инженеры по безопасности Гугл признают, что это – «мышь и кошка» игра с атакующими с каждым новым смягчением, возможно, для нового противосмягчения от хакеров.

«Мы будем высматривать попытки атакующих приспособиться и разрабатывать предстоящее смягчение, основанное на том, что мы видим», записали инженеры Гугл. «Быть может, что еще более принципиально важно, мы также разрабатываем следующий уровень обороноспособности, основанной на том, что мы ожидаем, что имели возможность бы видеть».Упрочнения Гугл в помощи обезопасисть Flash имеют довольно много смысла, учитывая, что браузер Chrome конкретно интегрирует Flash.

В следствии уязвимость Flash делает всех пользователей Chrome уязвимыми, и это не добрая обстановка для Гугл.Но не обращая внимания на твёрдый месяц, что Adobe имел с безопасностью Flash, вещи изменяются. Adobe и его партнеры не останавливаются, ожидая следующего применения; скорее они кладут на место предупредительные способы для ограничения будущих рисков.

Неприятности UAF не ограничены Adobe Flash, и Гугл не есть монопольным совокупностей обеспечения безопасности, что имеет пару идей об исправлениях также. В феврале Микрософт наградила исследователей Hewlett-Packard 125 000$ в премиях как часть Микрософт Mitigation Bypass Bounty и светло синий Бонуса Шляпы для Программы Защиты.

Изучение HP было сфокусировано на браузере MSIE Микрософт и уязвимостях UAF. На протяжении премии Брайан Горенк, менеджер изучения уязвимости для безопасности HP Изучение, сообщил eWEEK, что способы защиты UAF, HP, предоставленный Микрософт, есть определенным для браузера IE, не смотря на то, что в будущем они имели возможность бы быть в состоянии оказать помощь вторым. HP планирует публикацию полного отчета на его смягчении UAF в последних месяцах года, по словам Горенка.

Не обращая внимания на то, что на Flash Adobe строго повлияли в 2015, UAF есть неспециализированным бичом современных веб-приложений. Как раз в то время как атакующие применяют не сильный места UAF, существует улучшенная обороноспособность в работах для обеспечения сети – благодаря работе Adobe, Гугл и HP.Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.

Следуйте за ним в Твиттере @TechJournalist.


TCNMS.RU