Adobe heeft samen met Google een nieuwe beveiliging ontwikkeld voor de Flashplayer. In de update die van de week beschikbaar kwam zijn niet alleen de twee zero-day lekken gedicht die uit de data van Hacking Team naar buiten zijn gekomen, maar werden er ook aanvullende maatregelen genomen om soortgelijk misbruik in de toekomst te voorkomen.
In totaal werden er drie low-level verdedigingen toegevoegd in de nieuwe Flashplayer 18.0.0.209, twee daarvan blokkeren een techniek die door veel exploits wordt gebruikt sinds 2013. Deze techniek maakt misbruik van de lengte van de ActionScript Vector Buffer, door code in het geheugen te plaatsen op voorspelbare locaties van deze buffer, kon die code worden uitgevoerd en was een systeem gehackt.
Deze twee nieuwe methodes zorgen ervoor dat het niet meer mogelijk is door de code te isoleren. Hiervoor wordt gebruik gemaakt van "heap partitioning", een technologie die door Google is ontwikkeld. Deze heap is een aparte plek in het geheugen waar variabelen van applicaties worden opgeslagen.
Google gebruikt "heap partitioning" veelvuldig in de Chrome-browser en het is een standaard manier geworden om de software te beveiligen. Google heeft nu samen met Adobe de techniek toegevoegd aan Flash. De techniek werkt overigens wel veel beter op een 64bit-versie van de Flashplayer dan op de 32bit-versie. De Google onderzoekers raden dan ook een 64bit-browser en een 64bit Flashplayer aan op uiteraard een 64bit besturingssysteem.
Adobe heeft daarnaast een eigen methode ontwikkelt om aanpassingen aan de Vector Buffer lengte te voorkomen. Deze heet Vector Length Validation en werkt beter op de 32bit-versie van Flash. Tot slot heeft Adobe er samen met Google voor gezorgd dat Flash veel willekeuriger gegeven weg schrijft in het geheugen waardoor het moeilijk wordt om hier misbruik van de te maken.
Ondanks al dit goede nieuws is er ook slecht nieuws, deze nieuwe beveiligingen werken alleen in Google Chrome, omdat er gebruik wordt gemaakt van de zogenaamde Pepper Plugin API (PPAPI), welke met Google Chrome automatisch wordt meegeleverd. Adobe brengt volgende maand een update uit voor de plugin voor Internet Explorer en Firefox, waarbij de Pepper Plugin wordt toegevoegd, zodat de beveiligingen ook in die browsers werken.
De onderzoekers van Google hebben laten weten dat aanvallen uiteindelijk ook wel een weg zullen vinden om deze verdedigingen heen, maar dat is nog een hele klus. Voorlopig zijn deze nieuwe beveiligingen een grote stap voorwaarts in de veiligheid van de Flashspeler.
20 uur geleden
