Google scende in campo per aiutare Adobe dopo che del codice sorgente Flash Player è stato preso di mira praticamente da tutto il mondo in seguito alle vulnerabilità evidenziate nei documenti riservati di Hacking Team.
Adobe ha impiegato dieci giorni per rilasciare una patch in grado di risolvere definitivamente i buchi. E lo ha fatto con il contributo fondamentale è arrivato da Project Zero, il team di sicurezza di Google. Gli esperti di BigG hanno collaborato a stretto contatto con i programmatori di Adobe per correggere gli errori presenti nella versione di Flash “hackerata”, oltre ad aggiungere ulteriori livelli di protezione.
Project Zero ha modificato la lunghezza del buffer dell’ActionScript Vector, in modo che il cybercriminale riesca a inserire codice pericoloso nella memoria e poi a eseguirlo. L’ActionScript è il linguaggio con cui vengono scritte le applicazioni in Flash. La tecnica adottata da Project Zero è stata ribattezzata “heap partitioning” e può essere utilizzata per isolare gli oggetti tra loro dentro il cosiddetto heap: una particolare area della memoria di un computer dove i vari processi dei programmi in esecuzione possono registrare temporaneamente le variabili che devono essere utilizzate.
Ai risultati ottenuti da Google, si aggiungono anche le soluzioni offerte ora dalla stessa Adobe, che si è concentrata su un’altra tecnica, chiamata Vector length validation. Dedicata in particolar modo ai sistemi a 32 bit, questo metodo rappresenta una valida “toppa” alla corruzione delle lunghezze dei buffer dei vettori. Infine, l’ultima versione di Flash Player, la 18.0.0.209, è stata dotata di randomizzazione dell’heap, grazie ancora al contributo di Project Zero.
ECCO COME AGGIORNARE ADOBE FLASH PLAYER
