Flash真是个让人又爱又恨的东西,一方面它让我们的互联网多姿多彩,但另一方面它又是漏洞和后门的主攻之地。
Flash真是个让人又爱又恨的东西,一方面它让我们的互联网多姿多彩,但另一方面它又是漏洞和后门的主攻之地。就在本月初flash插件又爆出一次重大的漏洞危机,10.0.45.2版本的flash插件(Adobe Reader 9.x软件也包括在内)里发现了一个高危漏洞,一旦被利用,会导致用户各种账户信息被盗,需要升级到10.1版才能避免这一漏洞。
IE用户点此下载最新版Flash,Firefox、Chrome、Safari、Opera等浏览器用户点此下载。
Adobe应该认真讨论有关如何解决这些安全性问题,而不是假装没看到,有国外的资深IT人士这样指出。包括微软和苹果在内的企业也都曾公开表示说,如今Flash在可靠性、安全性以及性能上都存在问题和不足。
那么Adobe对这些言论的回应又是如何呢?Adobe联合创始人Chuck Geschke前不久在一家科技网站采访他时表示:微软和苹果的这些说法已经过时了,用户应该去Adobe官网了解有关flash的事实真相(The truth about Flash)。
让我们看看这个页面上关于安全方面的内容吧,安全问题是flash团队最优先考虑的事项之一,在2009年度的赛门铁克全球互联网威胁报告里,flash是全球互联网技术公司产品里漏洞第二少的。但耐人寻味的是,Adobe并没在上述文字里给出赛门铁克相关报告的链接。
好在赛门铁克是知名的安全厂商,要找到相关报告并不难,该报告是赛门铁克今年4月份发布的,涵盖了去年一整年的互联网威胁报告(PDF文件)。
在这份详细报告的第40页里,赛门铁克一共记录了2009年321个浏览器插件的漏洞。其中ActiveX控件漏洞达到134个,Java SE漏洞有84个,Adobe Reader漏洞有49个,QuickTime漏洞27个,Flash则有23个漏洞,剩余4个漏洞来自Firefox扩展。上述具体内容并没有被Adobe的网页所引用。
单纯比较下来,flash的漏洞虽然是第二少的,但是对于使用率如此广泛的flash来说,一年里23个漏洞真的不值一提么?尤其是对这些漏洞的威胁程度进行评估后,部分漏洞被列为高危级的,如此一来,这个“第二少”就没有多少可炫耀的本钱了。此外,在那份报告里还有一段内容(42页):在整个2009年发现的漏洞里,Adobe Reader和Flash共有的漏洞是引发攻击次数第二多的。这些漏洞包括一个0day漏洞、2个被攻击排名前五的漏洞。特别的,这些Adobe的漏洞经常会和恶意攻击代码、特洛伊木马等联系紧密。
那么更早的2008年,甚至2007年Adobe又如何呢?在2008版的赛门铁克报告里总共记录了16个flash漏洞,2007年和flash有关的漏洞攻击11个。换句话说,近三年多里,flash的漏洞一直在增加!正是由于flash漏洞逐年增长,赛门铁克甚至给出了如下安全建议,在访问陌生网站时为了保证安全,用户应尽可能的打开浏览器的安全功能并禁用JavaScript、flash插件及其他可能会危及用户的内容。
现在再回头看看Adobe联合创始人所说的话,很明显,Adobe不重视安全问题正是源自高层的固执。
网友评论