Adobe剛改善Flash安全，Zerodium就祭出16.5萬美元獎金懸賞破解方法 Adobe甫於去年底宣布多項改善Flash安全性的措施，本周漏洞收購業者Zerodium就祭出了 16.5萬美元（台幣553萬元）的總獎金徵求繞過Flash堆積隔離（heap isolation）安全機 制的方法。 Adobe的Flash Player因經常爆出嚴重漏洞而招致批評，使得Adobe近來疲於強化Flash Player的安全性，去年12月上旬Adobe一口氣修補了78個與Flash Player有關的安全漏洞 ，同時宣布多項安全改善措施，其中一項便是堆積隔離。 堆積區域指的是程式執行時用來建立或釋出內部資料的地方，所謂的堆積隔離則是建立一 個新的堆積區域來儲存內部物件，讓受到攻擊或感染的物件仍維持在預設的堆積區域， Bromium Labs的首席安全研究人員Jared DeMott形容，就好像是讓頑皮的小孩跟乖巧的小 孩使用不同的遊樂場一樣。 Adobe則說，他們重新撰寫了記憶體管理員，以廣泛部署堆積隔離，此舉將能限制駭客利 用「使用已釋放記憶體」（use-after-free）安全漏洞的能力。 不過，曾高價收購iOS漏洞的Zerodium本周透過Twitter宣布，將提供16.5萬美元的總獎金 給找到方法繞過堆積隔離安全機制的駭客或研究人員。 Zerodium在蒐集漏洞及攻擊途徑後，會將相關資料銷售給客戶，宣稱主要的客戶來自國防 、科技及金融領域等需要防衛零時差攻擊的企業，但也有人擔心Zerodium的作法將會影響 資安生態，因為Zerodium所提供的價碼高過Google及微軟等業者所祭出的抓漏獎勵，除了 助長漏洞銷售的商業行為之外，也會挖掘出更多的漏洞而增加安全風險。 iThome http://www.ithome.com.tw/news/102918 ------ 看來新版的Adobe Flash Player在安全性的部份又增強了 這次主要是將Isolated Heap的部份實做在Flash Player上 而在這之前，IE 11、Chrome、Firefox則針對瀏覽器物件的部份也有相關的實做了 只不過未來難保相關的保護機制不會被突破就是了 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.41.143.195 ※ 文章網址: https://webptt.com/m.aspx?n=bbs/Browsers/M.1452176045.A.EEB.html ※ 編輯: Kitakami (114.41.143.195), 01/07/2016 22:36:15