Adobe刚改善Flash安全,Zerodium就祭出16.5万美元奖金悬赏破解方法
Adobe甫于去年底宣布多项改善Flash安全性的措施,本周漏洞收购业者Zerodium就祭出了
16.5万美元(台币553万元)的总奖金征求绕过Flash堆积隔离(heap isolation)安全机
制的方法。
Adobe的Flash Player因经常爆出严重漏洞而招致批评,使得Adobe近来疲于强化Flash
Player的安全性,去年12月上旬Adobe一口气修补了78个与Flash Player有关的安全漏洞
,同时宣布多项安全改善措施,其中一项便是堆积隔离。
堆积区域指的是程式执行时用来建立或释出内部资料的地方,所谓的堆积隔离则是建立一
个新的堆积区域来储存内部物件,让受到攻击或感染的物件仍维持在默认的堆积区域,
Bromium Labs的首席安全研究人员Jared DeMott形容,就好像是让顽皮的小孩跟乖巧的小
孩使用不同的游乐场一样。
Adobe则说,他们重新撰写了内存管理员,以广泛部署堆积隔离,此举将能限制骇客利
用“使用已释放内存”(use-after-free)安全漏洞的能力。
不过,曾高价收购iOS漏洞的Zerodium本周透过Twitter宣布,将提供16.5万美元的总奖金
给找到方法绕过堆积隔离安全机制的骇客或研究人员。
Zerodium在蒐集漏洞及攻击途径后,会将相关资料销售给客户,宣称主要的客户来自国防
、科技及金融领域等需要防卫零时差攻击的企业,但也有人担心Zerodium的作法将会影响
资安生态,因为Zerodium所提供的价码高过Google及微软等业者所祭出的抓漏奖励,除了
助长漏洞销售的商业行为之外,也会挖掘出更多的漏洞而增加安全风险。
iThome
http://www.ithome.com.tw/news/102918