Adobe甫於去年底宣布多項改善Flash安全性的措施,本周漏洞收購業者Zerodium就祭出了16.5萬美元(台幣553萬元)的總獎金徵求繞過Flash堆積隔離(heap isolation)安全機制的方法。

Adobe的Flash Player因經常爆出嚴重漏洞而招致批評,使得Adobe近來疲於強化Flash Player的安全性,去年12月上旬Adobe一口氣修補了78個與Flash Player有關的安全漏洞,同時宣布多項安全改善措施,其中一項便是堆積隔離。

堆積區域指的是程式執行時用來建立或釋出內部資料的地方,所謂的堆積隔離則是建立一個新的堆積區域來儲存內部物件,讓受到攻擊或感染的物件仍維持在預設的堆積區域,Bromium Labs的首席安全研究人員Jared DeMott形容,就好像是讓頑皮的小孩跟乖巧的小孩使用不同的遊樂場一樣。

Adobe則說,他們重新撰寫了記憶體管理員,以廣泛部署堆積隔離,此舉將能限制駭客利用「使用已釋放記憶體」(use-after-free)安全漏洞的能力。

不過,曾高價收購iOS漏洞的Zerodium本周透過Twitter宣布,將提供16.5萬美元的總獎金給找到方法繞過堆積隔離安全機制的駭客或研究人員。

Zerodium在蒐集漏洞及攻擊途徑後,會將相關資料銷售給客戶,宣稱主要的客戶來自國防、科技及金融領域等需要防衛零時差攻擊的企業,但也有人擔心Zerodium的作法將會影響資安生態,因為Zerodium所提供的價碼高過Google及微軟等業者所祭出的抓漏獎勵,除了助長漏洞銷售的商業行為之外,也會挖掘出更多的漏洞而增加安全風險。

熱門新聞

Advertisement