Google pomoże Adobe w naprawieniu Flasha
-
- 17.07.2015, godz. 15:22
Ostatnie wydarzenia związane z Flashem sprawiły, że reputacja Adobe została mocno nadszarpnięta. Firmie z San Jose ruszył z pomocą gigant IT - Google, który obiecał załatać wtyczkę raz a dobrze.
Wyznaczony przez Google zespół inżynierów pracuje nad anty-hakerskimi zabezpieczeniami we Flashu. Ustalono, że jeden z głównych felerów wtyczki to zwiększanie wartości rozmiaru tabeli alokacji pamięci losowej bez jej relokacji, co odbywa się kosztem zajmowania nieużywanych sektorów pamięci sąsiednich tabel. Poprzez zapisywanie i odczytywania elementów z tak pozyskanej przestrzeni, atakujący zyskuje dostęp do miejsc, do których w inny sposób nie mógłby się wedrzeć. Tabele sąsiadują ze sobą, więc po uzyskaniu dostępu do jednej, łatwo manipulować innymi. W takiej sytuacji haker może uruchomić złośliwy kod.
Crash wtyczki
Google i Adobe wypracowały trzy sposoby obrony. Pierwszy - oddzielenie od siebie tablic, co uniemożliwi przejście z jednej na drugą. Adresy mają być tak odległe, że próba przejścia z jednego do drugiego spowoduje zawieszenie się wtyczki. Drugi - losowa alokacja pamięci, która uniemożliwi hakerowi na korzystanie z zasobów. Trzeci - walidacja długości. Adobe dodało dodatkową, ukrytą wartość do metdanych tabeli, która używana jest do kalkulowania wartości jej rozmiaru. Jeśli atakujący zmieni go, ukryty element musi być również przekalkulowany, a jeżeli haker nie będzie wiedział, jaka jest jego wartość, nastąpi crash. Pozwoli to zatrzymać większość ataków.
Zobacz również:
Które z powyższych rozwiązań zostanie ostatecznie uznane za najlepsze - dowiemy się wkrótce.
Autorzy
Henryk Tur
PCWorld
Redaktor dzialu Hardware
W styczności z komputerami od 1986 roku, w IDG od 2011. Zajmuje się poradami, programami oraz artykułami związanymi z ogólnie pojętą branżą IT.
Więcej: Henryk Tur
