受到義大利駭客公司Hacking Team文件外洩的影響,Adobe近日連續釋出兩次緊急更新修補3個Flash Player零時差漏洞。不過,最新的Flash Player 18.0.0.209不僅修補當中的兩個漏洞,還嵌入了3個攻擊緩解機制,其中兩個來自Google的貢獻。
負責隔離堆積的Google Project Zero安全研究人員Mark Brand與Chris Evans表示,他們有時會自行處理攻擊緩解機制,但最近一直與Adobe合作以緩解Flash的攻擊程式。最近鎖定Flash的攻擊程式有很大一部份是鎖定「堆積溢位」(heap overflow)漏洞與「釋放後使用」(use-after-free)漏洞,這兩個案例的共通點在於駭客濫用了向量種類Vector.
Google與Adobe都分別開發出兩個與一個基於Vector.
Brand與Evans認為,即使他們採取了有力的措施來保障Flash的安全,但離完整的保護還有一大段距離,因為駭客可以針對業者所祭出的攻擊緩解措施展開反擊,是個貓捉老鼠的遊戲,Google也會研究新的防禦機制,持續分析物件類型以探查分區緩解所能發揮的功用。
Flash的漏洞頻傳,最近一個月Adobe便修補了38個Flash安全漏洞,並有3個屬於零時差攻擊漏洞。而這也再次引起外界的抨擊聲浪,臉書新任安全長甚至呼籲Adobe該宣布終結Flash。此外,上述漏洞中有20個是由Google所揭露,現在看來Google不但幫Adobe尋找漏洞,還協助Adobe強化了Flash的安全性,在Flash有如過街老鼠之際施以援手。不論是Adobe或Google都建議使用者儘快升級到Flash Player 18.0.0.209。(編譯/陳曉莉)
熱門新聞
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22