Adobe在官方產品安全部落格中表示,Reader X正式釋出代表該公司正式啟用沙箱技術。
最近兩年Adobe的Flash/Acrobat/Reader經常被駭客所用,發動所謂的「零時差」攻擊,這代表駭客所使用的漏洞是軟體製造商及相關資安公司都沒發覺的漏洞。導致Adobe原本預期每季提供一次修補程式變成一直在修補這些零時攻擊所使用的漏洞,因此在Acrobat/Reader X Windows版本中使用沙箱技術來降低零時攻擊的影響。
該技術主要取經自微軟作業系統、Office及Google瀏覽器。Adobe產品安全主管Brad Arkin因此在部落格中特別感謝微軟及Google及其他合作團隊的協助
Adobe邀請的資安顧問公司iSEC Partners也在Adobe產品安全部落格中說明他們如何協助評估Adobe發展沙箱技術,文中特別指出,Windows XP缺乏UAC機制(User Account Control,使用者帳戶控制),而這是整個沙箱技術的基礎,最後他們採逆向工程來處理XP相關的問題。
iSEC Partners在文章最後也提到,部分有風險的功能太重要而不能限制其功能,也有部分功能參數變化太複雜,無法在使用者接受的時間內完全分析安全性,也只好放行。Adobe產品安全主管Brad Arkin也在文中承認,沙箱技術不是資安金鐘罩,但這樣的機制可以抑止許多的攻擊,達到保護使用者作業系統的目標。(編譯/沈經)
