Flash vanaf nu moeilijker te misbruiken
Adobe blijkt bij de update van afgelopen week niet alleen de noodpatches te hebben aangebracht, maar heeft in samenwerking met Google ook extra beveiligingsmaatregelen getroffen die misbruik moeilijker maken. Al zitten de verbeteringen voorlopig niet in de Flash plug-ins voor alle browsers.
Adobe heeft met de update vorige week extra beveiligingsmaatregelen aangebracht, naast het repareren van de drie problemen die kort daarvoor aan het licht werden gebracht, ontdekte Computerworld. Die extra maatregelen zorgen ervoor dat in de toekomst een bepaalde techniek, die vaak werd ingezet om de zero-daykwetsbaarheden in Flash te misbruiken, niet meer kan worden toegepast.
In samenwerking met Google
De oplossing komt uit een samenwerking tussen Adobe en Google, die hierover vertelt in een blog. Google noemt de oplossing Heap Partitioning en past deze zelf al toe in Chrome. Inmiddels maken ook verschillende andere browsers er gebruik van en de techniek is nu geïntroduceerd in Flash.
Heap Partitioning helpt een probleem oplossen met de lengte van de buffer van ActionScript Vector, de taal waarmee Flash-toepassingen worden geprogrammeerd. Het probleem maakt dat er kwaadaardige code kan worden geplaatst op specifieke plaatsen in het geheugen en tot uitvoer kan worden gebracht.
Aangepast voor 32-bits systemen
De Heap Partitioning zorgt ervoor dat verschillende objecten in de heap – een onderdeel van het werkgeheugen – apart van elkaar kunnen worden gehouden. Adobe heeft de techniek aangepast zodat deze kan worden toegepast op de Action Script Vector buffer. In feite is het een verbetering van de Google Heap Partitioning, omdat deze ook goed werkt op 32-bits besturingssystemen. Googles verdedigingsmechanisme werkt het best in combinatie met 64-bits besturingssystemen.
Verbeteringen vooralsnog niet in alle browsers
Daarnaast heeft Adobe ook een verbetering aangebracht in de manier waarop code op een random manier in de heap wordt geschreven om het lastiger te maken voor een kwaadwillende specifieke plekken in de heap te adresseren.
De verbeteringen zitten vooralsnog niet in de Flash plug-ins voor alle browsers, want er is samenwerking nodig met de Pepper Plugin API (PPAPI) die bijvoorbeeld nu in Chrome zit. Adobe is echter ook van plan snel versies voor Internet Explorer en Firefox uit te brengen.
Bron: Automatiseringgids
Fout opgemerkt of meer nieuws? Meld het hier