Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Google hỗ trợ Adobe tăng cường an ninh cho Flash
Sau một tháng “quay cuồng” với các lỗ hổng zero-day trên Flash, người dùng phần mềm đã có chút hy vọng khi Google công bố kỹ thuật mới nhằm hỗ trợ Adobe tăng cường an ninh cho Flash.
Adobe đang trong giai đoạn căng thẳng để có các biện pháp tăng cường an ninh cho sản phẩm của mình khi Flash liên tục là mục tiêu nhắm tới của tin tặc trong năm 2015. Tuy nhiên, Adobe không “đơn độc” trong cuộc chiến này bởi có thêm sự trợ lực từ Google.
Trong tháng 6, Adobe đã đưa ra bản vá cho 38 lỗ hổng khác nhau, trong đó có tới 3 lỗ hổng zero-day được phát hiện trong vụ rò rỉ dữ liệu của Hacking Team. Một nguồn cung cấp thông tin lỗ hổng khác cho Adobe đó là các chuyên gia trong Project Zero của Google với 20 CVE. Tuy nhiên, Google không chỉ thông báo lỗ hổng mà còn hỗ trợ Adobe khắc phục và ngăn chặn các cuộc tấn công.
Trong bản cập nhật Flash v18.0.0.209 được đưa ra vào ngày 14/7, Flash đã được tích hợp thêm cơ chế bảo vệ khỏi lỗ hổng UAF trong bộ nhớ, nhờ sự hỗ trợ của Google.
Các chuyên gia Google cho biết: “Kỹ thuật chia heap giúp cô lập các đối tượng thuộc các loại khác nhau. Chrome sử dụng kỹ thuật này và trở thành một kỹ thuật phòng thủ khỏi lỗ hổng UAF trong nhiều trình duyệt. Giờ đây, chúng tôi sẽ tích hợp kỹ thuật này vào Flash”.
Một sự hỗ trợ khác Google dành cho Adobe đó là tăng cường cơ chế ngẫu nhiên (ASLR) trong heap bộ nhớ Flash. Đây không phải là ý tưởng mới, trên Windows cơ chế này cũng được tích hợp rất hiệu quả.
Các nỗ lực của Google trong việc hỗ trợ Flash rất có ý nghĩa với hãng này bởi trình duyệt Chrome tích hợp trực tiếp Flash. Việc Flash tồn tại lỗ hổng sẽ khiến người dùng Chrome bị ảnh hưởng.
Không chỉ có Adobe phải đối diện với lỗ hổng UAF. Vào tháng 2, Microsoft đã trao tặng 125.000 đô la Mỹ cho chuyên gia của HP để vá lỗ hổng tương tự trên trình duyệt Internet Explorer.
Adobe đang trong giai đoạn căng thẳng để có các biện pháp tăng cường an ninh cho sản phẩm của mình khi Flash liên tục là mục tiêu nhắm tới của tin tặc trong năm 2015. Tuy nhiên, Adobe không “đơn độc” trong cuộc chiến này bởi có thêm sự trợ lực từ Google.
Trong tháng 6, Adobe đã đưa ra bản vá cho 38 lỗ hổng khác nhau, trong đó có tới 3 lỗ hổng zero-day được phát hiện trong vụ rò rỉ dữ liệu của Hacking Team. Một nguồn cung cấp thông tin lỗ hổng khác cho Adobe đó là các chuyên gia trong Project Zero của Google với 20 CVE. Tuy nhiên, Google không chỉ thông báo lỗ hổng mà còn hỗ trợ Adobe khắc phục và ngăn chặn các cuộc tấn công.
Trong bản cập nhật Flash v18.0.0.209 được đưa ra vào ngày 14/7, Flash đã được tích hợp thêm cơ chế bảo vệ khỏi lỗ hổng UAF trong bộ nhớ, nhờ sự hỗ trợ của Google.
Các chuyên gia Google cho biết: “Kỹ thuật chia heap giúp cô lập các đối tượng thuộc các loại khác nhau. Chrome sử dụng kỹ thuật này và trở thành một kỹ thuật phòng thủ khỏi lỗ hổng UAF trong nhiều trình duyệt. Giờ đây, chúng tôi sẽ tích hợp kỹ thuật này vào Flash”.
Một sự hỗ trợ khác Google dành cho Adobe đó là tăng cường cơ chế ngẫu nhiên (ASLR) trong heap bộ nhớ Flash. Đây không phải là ý tưởng mới, trên Windows cơ chế này cũng được tích hợp rất hiệu quả.
Các nỗ lực của Google trong việc hỗ trợ Flash rất có ý nghĩa với hãng này bởi trình duyệt Chrome tích hợp trực tiếp Flash. Việc Flash tồn tại lỗ hổng sẽ khiến người dùng Chrome bị ảnh hưởng.
Không chỉ có Adobe phải đối diện với lỗ hổng UAF. Vào tháng 2, Microsoft đã trao tặng 125.000 đô la Mỹ cho chuyên gia của HP để vá lỗ hổng tương tự trên trình duyệt Internet Explorer.
Nguồn: eWeek