谷歌,Adobe沙箱Flash为Chrome用户提供保护

Chrome为Windows系统设计的dev现在可以阻止Flash攻击代码感染pc

高级记者,《计算机世界》 |

Adobe和谷歌已经合作将Flash Player插件放入Chrome的沙箱中,这两家公司的努力是为了更好地保护用户免受攻击。

沙箱已经被引入到最粗糙的Chrome版本——“dev”版本中,目前只能在Windows版的谷歌浏览器上使用。

“沙箱”隔离计算机上的进程,防止或至少阻止恶意软件逃脱应用程序对计算机造成严重破坏。

Flash已经成为黑客的热门攻击目标,今年他们经常利用它的漏洞。自今年1月以来,Adobe已经五次为Flash打补丁,而且有几次不得不发布紧急补丁来阻止正在进行的攻击。

自2007年推出iPhone以来,苹果就一直在与奥多比就Flash问题争论不休拽的软件并计划将其从未来的电脑中淘汰。该公司称其Mac OS X操作系统放弃Flash的原因是出于安全考虑。

谷歌采取了不同的策略:它与Adobe合作创建了一个隐藏Flash Player的沙箱。

奥多比平台安全策略师佩勒斯•乌利(Peleus Uhley)在周三接受采访时表示:“双方都做了大量工作。”“开源浏览器的界面与ie等浏览器完全不同,我们不得不对Flash Player进行重组,将其置于沙箱中。”

Flash沙箱使用了一些Chrome用来保护HTML和JavaScript的现有技术元素,但大部分新工作都是从零开始创建的,Adobe安全和隐私主管Brad Arkin补充道。他说:“最大的挑战是在这个新的沙箱中充分发挥Flash的功能。”

Adobe与谷歌合作创建了新的api(应用程序编程接口)来在沙箱中支持Flash,这是一个必要的步骤,因为Flash Player与HTML和JavaScript不同,是一个插件。

谷歌的Chrome团队在周三回复Computerworld的邮件中说:“Flash Player沙盒是专门围绕Flash的进程和功能设计的,它可以保护某些敏感资源不被恶意代码访问,同时允许使用不太敏感的资源。”

具体来说,谷歌和Adobe的工程师合作构建了一个“代理”流程,它决定Flash可以在沙箱之外执行哪些功能,并在插件和浏览器的其他部分以及操作系统之间协调请求。

“这限制了可能运行在Flash Player中的恶意代码破坏敏感系统资源的能力,”谷歌解释说。

“这个概念和Reader X中的沙箱是一样的,”Uhley说最新版本的PDF浏览器。目标和模型是相同的:Flash Player使用低权限运行,并使用代理进程。但Chrome中的沙箱与Reader x中的沙箱非常不同。”

而只有Windows XP, Vista和Windows 7Chrome版本包括新的Flash沙箱,Adobe和谷歌计划在Mac OS X和Linux版本中添加安全特性。不过,两家公司并未制定向这两个平台扩张的时间表。

“我们认为这是一个工作原型,”阿金说。“随着Chrome的发展,它将走向成熟。”

Uhley补充道:“我们还在努力解决一些bug,所以它还会在开发频道上运行一段时间。”

谷歌说Flash沙箱应该会在2011年初到中期出现在Chrome的“稳定”版本中——浏览器的生产版本。

尽管Adobe表示,这款沙箱的质量是可靠的,但它计划继续致力于这项技术,直到它稳定下来。Arkin将现在Chrome浏览器中的Flash沙箱和Reader X中的代码质量进行了比较,Adobe在上个月发布了几个beta版本,然后将其发布到公众面前。

“我们很有信心,当它进入Chrome的稳定通道时,它将是稳固的,”Arkin说。

Adobe希望将从谷歌和Chrome中学到的东西应用到其他浏览器,特别是Mozilla的Firefox和苹果的Safari。

“我们想做一个沙盒的工作原型,以确保我们可以做到,”Uhley说。“但我们希望与Mozilla和苹果进行同样的讨论,看看这是否适合他们。”

Uhley说,没有他们的帮助,Adobe无法为其他浏览器制作Flash播放器沙箱。“我们不能全靠自己,”他说。“它需要在浏览器端和Flash中做出改变。”

Uhley说,包括关键的代理程序在内的一些工作,将在Chromium项目中以开源的形式提供给Chrome。

对于谷歌来说,它计划在Chrome中添加api,这将允许其他插件制造商在沙箱中运行。谷歌表示:“我们一直对提高插件安全性感兴趣,因此我们致力于正在进行的下一代插件API工作,该工作为插件在沙箱中运行提供了一种标准方式。”

谷歌和Adobe曾经合作过Flash。去年4月Chrome开始打包Flash播放器当Adobe发布安全更新时,浏览器会自动更新Adobe的软件。

Windows Chrome开发构建与Flash沙箱昨天发布。用户可以切换到dev通道通过访问Chrome的网站。

Gregg Keizer为计算机世界涵盖微软,安全问题,苹果,网络浏览器和一般技术的突发新闻。在推特上关注格雷格@gkeizer或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com

阅读更多有关安全的内容在计算机世界的安全主题中心。

这个故事,“谷歌,Adobe沙箱Flash为Chrome保护用户”最初是由《计算机世界》

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对最重要的话题发表评论。
相关:

高级记者Gregg Keizer为计算机世界报道Windows, Office, Apple/enterprise,网络浏览器和网络应用。

版权©2010Raybet2

工资调查:结果在