Avec sa mise à jour de la semaine dernière, Adobe semble avoir prévu non seulement les correctifs nécessaires, mais aussi, en collaboration avec Google, des mesures de sécurité supplémentaires qui rendent l’abus de Flash plus malaisé et ce, même si les améliorations ne figurent provisoirement pas dans les ‘plug-ins’ Flash pour tous les navigateurs.
Adobe a avec sa mise à jour de la semaine dernière prévu des mesures de protection complémentaires, en plus des solutions aux trois problèmes qui s’étaient manifestés peu avant, selon Computerworld. Ces mesures supplémentaires font en sorte de ne plus pouvoir appliquer à l’avenir une technique spécifique souvent utilisée pour abuser de la faille zero-day dans Flash.
En collaboration avec Google
La solution résulte d’une collaboration entre Adobe et Google, qui y fait référence sur un blog. Google appelle cette solution Heap Partitioning et l’applique elle-même déjà dans Chrome. Entre-temps, divers autres navigateurs y ont également recours, alors que cette technique est à présent introduite dans Flash.
Heap Partitioning aide à résoudre un problème de longueur du buffer d’ActionScript Vector, le langage de programmation des applications Flash. Le problème fait en sorte que du code malfaisant peut être placé en des endroits spécifiques de la mémoire, avant d’être exécuté.
Adapté aux systèmes 32 bits
Heap Partitioning s’assure que différents objets dans le heap – un élément de la mémoire de travail – puissent être maintenus à l’écart les uns des autres. Adobe a adapté la technique de sorte qu’elle puisse être appliquée au buffer Action Script Vector. En fait, il s’agit d’une amélioration de la solution Heap Partitioning de Google, parce que celle-ci fonctionne bien aussi sur les systèmes d’exploitation 32 bits. Le mécanisme de défense de Google fonctionne le mieux en combinaison avec les systèmes d’exploitation 64 bits.
Provisoirement pas encore d’améliorations dans tous les navigateurs
En outre, Adobe a également prévu une amélioration de la façon dont le code est écrit de manière aléatoire dans le heap, afin de rendre la vie plus ardue à toute personne mal intentionnée sur le plan de l’adressage d’endroits spécifiques dans le heap.
Ces améliorations ne se trouvent provisoirement pas encore dans les ‘plug-ins’ Flash pour tous les navigateurs car il faut une collaboration avec la Pepper Plugin API (PPAPI) qui figure maintenant par exemple dans Chrome. Adobe envisage toutefois aussi de sortir rapidement des versions pour Internet Explorer et Firefox.
Source: Automatiseringgids
