专家说,虽然这不是一种安全万能药,但苹果最终决定将Adobe Flash Player放到Safari自己的沙箱中,这将使Adobe这个黑客最喜欢的攻击目标更难被利用。
(苹果的iCloud钥匙链在OS X Mavericks得到的评价褒贬不一]
Adobe公司周三表示,从苹果公司最新版本的Mac OS X Mavericks开始,Safari将使用在其他主要浏览器上使用了一段时间的保护技术,这些浏览器包括谷歌Chrome、微软ie和Mozilla Firefox。
Bitdefender的安全研究员Bogdan Botezatu说:“我认为这是迟来的。”“OS X上的大多数安全问题是由第三方代码引起的,比如Java或Flash Player。”
沙箱是指将应用程序放置在一个容器中,以防止该软件访问对其操作无关紧要的计算机资源或服务。如果黑客能够渗透容器并危及应用程序,该技术通过限制他们的选择来提高安全性。
当然,根据应用程序的不同,可用的资源仍然可以提供控制计算机的途径。
Cylance的安全研究员Justin Clarke说:“虽然沙箱是一种强大而恰当的安全概念,但它们并不是绝对正确的,并且在不同平台和供应商之间的各种实现中多次被绕过。”
然而,沙箱使得成功的攻击变得更加困难,这就是为什么它被用来隔离Flash Player(一种用于在Web站点上播放多媒体和交互式内容的浏览器插件)。Flash是一个流行的Web开发平台。
Adobe平台安全策略师Paleus Uhley在公司的声明中表示,从Mavericks中的Safari开始,播放器读写文件的能力将受到限制安全的博客。
沙箱还将限制玩家的本地连接到设备资源和进程间通信(IPC)通道,这些通道用于消息传递、同步、共享内存和远程过程调用。
此外,Uhley说,玩家的网络权限也会受到限制。
苹果为什么等了这么久才保护Flash还不清楚。然而,苹果已经有一段时间不喜欢这项技术了。
2010年,时任苹果首席执行长乔布斯(Steve Jobs)为自己的公司辩护决定不支持苹果公司表示,iPhone、iPod和iPad的技术安全记录不佳,不可靠,在移动设备上表现不佳。
苹果不支持Flash的决定导致Adobe在一年后放弃了移动设备上的Flash开发。相反,该公司将重点转移到HTML5上,这是万维网联盟(World Wide web Consortium)推出的一种网络标准,提供类似的功能。
在个人电脑上,Flash仍然是一个重要的网络平台,苹果公司可能再也不能忽视Flash的稳步增长严重漏洞数量发现在Flash播放器。
安全创新公司的安全工程师Max Vohra说:“对于Flash来说,沙盒政策到底有多强大还有待观察。”“就像任何强制访问控制框架一样,它仍然有可能允许访问错误的文件或程序。”
Safari中更安全的Flash播放器预计不会对企业使用该浏览器产生任何影响。大多数公司都使用微软Windows附带的Internet Explorer浏览器。后者主导着操作系统的商业市场。
Forrester Research的分析师Randy Heffner说:“这是重要的一步,尽管我不认为它会对浏览器的前景有太大的改变,对企业标准也肯定不会有太大改变。”
这篇文章,“苹果Safari追赶上Flash安全的竞争对手”最初发表于方案 。