Piaskownica Adobe rozpracowana?
11 stycznia 2011 12:27 IDG News Service
, Antoni Steliński
Billy Rios, niezależny specjalista ds. bezpieczeństwa, opracował metodę pozwalającą na łatwe obchodzenie jednej z technologii zabezpieczających, wykorzystywanej w produktach Adobe. Chodzi o tzw. piaskownicę (sandbox), czyli mechanizm separujący potencjalnie niebezpieczny kod od systemu operacyjnego.
Polecamy:
Więcej informacji:
Zadaniem "piaskownicy" jest stworzenie izolowanego od reszty systemu środowiska, w którym uruchamiany jest każdy potencjalnie niebezpieczny kod. Dzięki temu nawet jeśli komuś uda się przemycić do komputera jakieś złośliwe oprogramowania, to i tak nie będzie ono w stanie zaszkodzić systemowi. Przynajmniej w teorii...
Błąd projektowy
Niestety, okazało się, że zabezpieczenia zastosowane przez Adobe działa nie do końca tak, jak powinno - specjalista ds. bezpieczeństwa informatycznego Billy Rios poinformował właśnie, że udało mu się znaleźć stosunkowo nieskomplikowaną metodę obchodzenia sandboksu zaimplementowanego do produktów Adobe.
Co ciekawe, Rios nie wykorzystał do tego celu żadnej luki czy błędu w konfiguracji "piaskownicy" - opisany przez niego w blogu atak wykorzystuje elementarny błąd projektowy popełniony przez Adobe.
Na szczęście metoda ta działa tylko w lokalnej sieci - obecnie niemożliwe jest wykorzystanie jej do ataków przeprowadzanych ze zdalnego serwera (choć Rios nie wyklucza, że ktoś inny będzie w stanie zlikwidować to ograniczenie).
Sandbox to nie recepta na całe zło
Specjalista zastrzegł też, że ani Adobe ani żaden ekspert ds. bezpieczeństwa nigdy nie twierdzili, że sandbox jest w 100% skuteczną metodą zabezpieczającą. "Piaskownica" powinna być stosowana jako jedno z kilku niezależnych zabezpieczeń - tylko w ten sposób można realnie zminimalizować niebezpieczeństwo ataku.
Anup Ghosh, twórca i główny naukowiec firmy Invincea, przypomina, że Adobe był od początku krytykowany za nie do końca przemyślane wdrożenie sandboksa - jego zdaniem pojawienie się metody obchodzenia tego zabezpieczenia było tylko kwestią czasu. "Od początku mówiliśmy im, że choć wprowadzenie piaskownicy jest krokiem w dobrym kierunku, to jednak błędem jest pozostawienie otwartych kilku potencjalnych dróg ataku. Ostrzegaliśmy wtedy, że ktoś wykorzysta je w ciągu kilku miesięcy..." - komentuje Ghosh.
Komentarze (5)
- ~Arkady
- 2011-01-11 16:15:36
No ładnie. Jeszcze niech rozpracują wirtualne maszyny.
- Gosć
- 2011-01-11 16:16:07
Czego oczekiwac po niedzisiejszej technologii javy. W sumie cud by był, gdyby te rozwiązania dawały podobny poziom bezpieczeństwa, jakości i efektywnośći pracy deweloperów jak współczesne .net4
- Gość
- 2011-01-11 18:40:59
Adobe jest ogólnie dziurawe.
- awaria
- 2011-01-11 19:03:03
no i prezerwatywa pękła
- ~max
- 2011-01-11 22:27:15
Z ciekawości, tadziu, dlaczego javy?
reklama
Popularne produkty
Smartfon SONY ERICSSON Xperia Arc S
Smartfon SONY ERICSSON Xperia Arc S
w 16
sklepach od 1129,00 zł
Smartfon SONY ERICSSON Xperia Arc S
Pobierz bezpłatnego e-booka 
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Kariera w IT 2012
Uczelnie, rynek pracy, rekrutacja, pracodawcy, rozwój zawodowy - czyli wszystko, co chcielibyście wiedzieć o pracy specjalistów IT w Polsce. Piszemy jakie uczelnie wybrać, dlaczego warto studiować informatykę i kierunki techniczne, jak wygląda proces rekrutacji i jak dobrze wypaść przed pracodawcą, opisujemy pracodawców - firmy IT - i możliwe ścieżki kariery.
Rekomendacje
reklama
Program miesiąca
reklama