Пока Adobe продолжает латать многострадальный Flash Player, ведущие игроки IT-рынка готовятся к миграции с этого морально устаревшего продукта на HTML5. Так, недавно свои планы в этом отношении озвучила Google, заявив, что к четвертому кварталу HTML5 будет введен на Chrome по умолчанию. Исключение будет сделано лишь для 10 крупнейших, часто посещаемых сайтов, таких как YouTube, Facebook, Yahoo, Amazon, Twitch, Live.com.

«Мы продолжим поставлять Flash Player с Chrome, и, если сайт действительно требует Flash, при первом заходе вверху страницы будет отображаться подсказка, предоставляющая пользователю опцию запуска для этого сайта», — поясняет Энтони Лафорж (LaForge), руководитель технической программы Google Chrome.

В публикации, растиражированной через списки рассылок для Chromium-разработчиков, Лафорж заявил, что белый список будет упразднен через год, а до той поры сайты, переставшие составлять исключение, будут выводиться из этого списка в рабочем порядке.

«Хотя Flash исторически был критичным для мультимедиа на веб-ресурсах, ныне HTML5 во многих случаях обеспечивает более интегрированный подход к работе с медиаконтентом, притом он ускоряет загрузку и позволяет снизить энергозатраты, — отметил эксперт. — Это изменение говорит о зрелости HTML5 и его способности предоставлять эффективное взаимодействие с пользователем».

Действенную помощь в обнаружении и приватном раскрытии уязвимостей во Flash Player оказали участники исследовательского Google-проекта Project Zero. Во время обмена мнениями в ходе апрельской конференции INFILTRATE Натали Силванович (Natalie Silvanovich) из Project Zero призналась, что она большую часть дня тратит на разбор уязвимостей во Flash. Она также представила хронологию багов в этом продукте, найденных ею и другими исследователями из Google с начала 2015 года.

Выступая на конференции, Силванович отметила, что, несмотря на всеобщее порицание Flash и призывы к депрекации, ситуация улучшилась: «Вначале я находила один баг в сутки, теперь это, наверное, одна находка в неделю».

Исследователь также пришла к выводу, что новые усилия Adobe по защите кодовой базы Flash Player от эксплойтов замедлили разработку эксплойтов и затруднили исследователям поиск уязвимостей. Так, например, баги use-after-free стало труднее эксплуатировать, а другие типы уязвимостей вроде redefinition (переопределение переменных) могут вовсе выйти из обихода.

Большое значение для работы Силванович, по ее признанию, имела информация, слитая из Hacking Team. «Дамп данных Hacking Team является беспримерным источником информации о работе Flash-эксплойтов в дикой природе», — заявила эксперт в ходе своего выступления.

Adobe со своей стороны тоже признает, что Flash, вероятно, исчерпал себя. В декабре прошлого года разработчик дал понять, что его инструмент для разработки, Animate CC, будет в первую очередь поддерживать HTML5, а не Flash.

Тем не менее Adobe продолжает патчить этот продукт каждый месяц, иногда даже чаще; так, в текущем году разработчик уже выпустил два внеплановых обновления из-за брешей нулевого дня. Такой же политики компания планирует придерживаться и в дальнейшем, чтобы уменьшить риски. Маловероятно, чтобы Flash вовсе исчез с интернет-арены: на него полагаются слишком много унаследованных приложений и существующего веб-контента. А значит, хакеры будут по-прежнему использовать предоставляемые Flash возможности. Hacking Team, к примеру, имела в своем арсенале как минимум два эксплойта к 0-day во Flash. Бреши нулевого дня в этом продукте также пользуются большим спросом у спецслужб и коммерческих предприятий вроде Zerodium.

Категории: Главное, Кибероборона, Уязвимости