Adobe发布了测试版由于采用了一种新的沙箱架构,它可以更好地防止漏洞利用。
“这个沙盒的设计与Adobe在adobereader X保护模式中提供的类似,遵循同样的实用Windows沙盒方法,”Adobe平台安全策略师Peleus Uhley在一个博客周一。“就像adobereader X沙盒一样,Flash Player将建立一个低完整性、高度受限的流程,必须通过一个经纪人进行沟通,以限制其特权活动。”
在安全软件开发中,沙盒指的是将一个过程与操作系统隔离开来,以最大限度地减少潜在漏洞的影响的做法。这种类型的技术近年来越来越受欢迎,主要是因为它在谷歌Chrome浏览器上的使用,该浏览器迄今为止从未经历过成功的远程代码执行攻击。
早在2010年,Adobe就决定在adobereader中实现沙盒,以应对针对该产品及其用户的大量漏洞。该技术内置在adobereader X(10.0)中,并基于谷歌开发Chrome时使用的相同的沙箱原则。
同年晚些时候,Adobe还发布了一个用于Chrome的沙箱版Flash Player,并承诺探索在其他浏览器上也这么做的可能性。Firefox的新沙盒Flash Player可以与Windows Vista和Windows 7兼容,就是这些努力的结果。
在过去的几年中,Flash Player的关键漏洞经常被恶意软件利用来感染电脑。与Java和Adobe Reader一样,Flash Player是最受攻击的软件应用程序之一,因为它的漏洞通常可以通过访问恶意网站而被利用。
Uhley说:“自从adobereader X在2010年11月发布以来,我们还没有看到任何针对adobereader X的成功攻击。”“一旦最终版本在今年晚些时候发布,我们希望Firefox的Flash Player沙箱也能看到类似的结果。”
然而,这个版本在阻止网络罪犯编写Flash Player漏洞方面的成功将在很大程度上取决于它被采用的速度。Adobe公司负责企业沟通的高级经理Wiebke Lips表示,为了加快这一进程,Adobe正在开发一种新的更新机制。
如果Adobe想让网络犯罪分子对其产品失去兴趣,那么为所有主流浏览器(不仅仅是Chrome和火狐)提供一个沙箱版本的Flash Player也很重要。“我们目前正在研究为Internet Explorer浏览器提供Flash Player沙箱保护的最佳途径,”Lips说。
然而,由于ie浏览器的插件架构与Chrome和Firefox完全不同,即ActiveX,因此为其开发一个沙箱Flash Player版本需要不同的方法,Lips说。不过,当前版本的Flash Player支持Windows Vista和Windows 7上的Internet Explorer 7或更高版本的保护模式。