- PVSM.RU - https://www.pvsm.ru -
Adobe added isolated heap to Flash. This month we pay $100K (with sandbox) and $65K (without sandbox) per #exploit [1] bypassing this mitigation
— Zerodium (@Zerodium) 5 января 2016 [2]
Компания Zerodium объявила приз в $100000 тому [3], кто найдёт уязвимость нулевого дня в новой версии Adobe Flash Player. В последней версии проигрывателя, вышедшей в декабре, была введена защита через изолирование кучи. Этот метод должен усилить безопасность программы.
В декабре Adobe объявила о выходе новой версии Flash Player, в которой был полностью переписан менеджер памяти. Изоляция данных процессов в памяти затрудняет попытки взлома плеера. Идеи и часть кода для этого были внесены специалистами по безопасности [4], работающими в проекте Google под названием Project Zero [5].
Проигрыватель flash-анимации от компании Adobe славится дурной репутацией как одна из наименее безопасных программ. В 2015 году по количеству уязвимостей она уступила [6]только операционкам от Apple OS X и iOS. Некогда очень популярное и фактически единственное средство для использования интерактивной веб-анимации, теперь flash-проигрыватель сдаёт свои позиции более современным средствам – например, новому стандарту HTML5.
Компания Zerodium периодически покупает у различных специалистов по безопасности сведения об уязвимостях в программных продуктах и перепродаёт их правительственным агентствам.
Прайс-лист компании для уязвимостей в различных программных продуктах
Это, однако, не самая большая награда за уязвимость нулевого дня. Та же компания Zerodium в прошлом году объявила награду в миллион долларов за удалённый взлом iOS 9 – и одна команда хакеров даже выиграла этот приз [7].
Автор: SLY_G
Источник [8]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/108257
Ссылки в тексте:
[1] #exploit: https://twitter.com/hashtag/exploit?src=hash
[2] 5 января 2016: https://twitter.com/Zerodium/status/684308378949033985
[3] объявила приз в $100000 тому: http://news.softpedia.com/news/exploit-vendor-zerodium-puts-100-000-bounty-on-flash-s-new-security-feature-498470.shtml
[4] внесены специалистами по безопасности: http://blogs.adobe.com/security/2015/12/community-collaboration-enhances-flash.html
[5] Project Zero: http://googleprojectzero.blogspot.ru/2015/07/significant-flash-exploit-mitigations_16.html
[6] по количеству уязвимостей она уступила : http://news.softpedia.com/news/surprise-flash-is-not-the-most-insecure-software-of-2015-498334.shtml
[7] выиграла этот приз: http://geektimes.ru/company/mailru/blog/266740/
[8] Источник: http://geektimes.ru/post/268836/
Нажмите здесь для печати.