以國家網絡安全為由,俄勒岡州民主黨人士、美國參議員Ron Wyden於上週三同時致函肩負美國政府機關網絡安全重任的美國國家標準與技術中心(National Institute of Science and Technology,NIST)、美國國家安全局(NSA)與國土安全部(DHS),敦促這三大政府機構務必儘快制定出一項計劃,在Adobe公司於2020年停止提供更新和技術支持之前,全面停用Adobe Flash。
Adobe Flash是美國Macromedia公司(後來被Adobe公司收購)所設計的一款二維矢量動畫軟件,可用於製作動畫、遊戲、演示文稿、應用程序和其它允許用戶交互的內容,並被作為嵌入式的瀏覽器視頻播放器。
隨著時間的推移,Adobe Flash與現代瀏覽器的兼容性愈來愈低,再加上層出不窮的安全漏洞(早在2008年4月8日,Adobe Flash Player 9 .0.115及更早版本就被發現存在高危漏洞),都使得這個曾風靡全球的軟件開始逐漸衰落。在去年7月份,Adobe公司宣佈將在2020年徹底停止為Adobe Flash發佈更新及提供技術支持。
“技術專家普遍認為,Flash存在嚴重且無法修補的安全漏洞,允許攻擊者獲取對網站訪問者計算機的完全控制權,進而深入到他們的數字生活中去。”Wyden在他的公開信中寫道,“US-CERT從2010年開始就不斷向Flash用戶提出警告,在Adobe於2020年停止對Flash的支持之後,Flash的網絡安全問題只會日益惡化。”
Wyden還指責美國政府經常無法很好地完成在此類過時軟件被徹底淘汰之前的過渡工作。例如,因為沒有來得及在微軟中止對Windows XP的更新之前完成操作系統切換工作,美國政府不得不花費數百萬美元來為老舊的Windows XP系統獲取單獨的技術支持。
Wyden呼籲美國政府,應要求各個機構停止部署基於Flash的內容,並在2019年8月1日之前從所有政府網站上移除基於Flash的內容。Wyden還建議創建一個小型試點計劃,於明年3月1日起從政府員工所使用的計算機中刪除Adobe Flash。
事實上,Wyden的擔憂的確值得我們思考。自Adobe Flash面世的十多年以來,這個無處不在的軟件一直都是黑客攻擊的目標。典型的策略包括瀏覽器彈出窗口、欺騙用戶安裝和運行一個虛假的Flash播放器,而實際上都是為了傳播惡意軟件。同時,大量合法Flash播放器中的漏洞也遭到黑客的濫用,以通過瀏覽器攻擊受害者。值得注意的是,單一的一個Flash漏洞可以同時適用於多個瀏覽器,因為大多數瀏覽器都支持這個軟件。
儘管Adobe公司在加強Flash的安全方面投入了大量的精力和資金,但自2005年以來,已有超過1050個Flash漏洞被記錄在案。根據CVEDetails的統計數據,這要比Windows XP或IE瀏覽器要多得多。
僅在去年一年裡,就有71個與Flash相關的CVE漏洞被記錄,其中56個的危險程序都被評定為關鍵級別,允許攻擊者遠程執行代碼。就在本月,Adobe公司修補了兩個Flash 漏洞——一個關鍵級別的任意代碼執行漏洞(CVE-2018-5007)和一個重要級別的越界讀信息洩露漏洞(CVE-2018-5008)。
Wyden表示,一旦Adobe公司停止對該Flash的支持,這種情況只會變得更糟。到了2020年,新發現的漏洞將不會有補丁被提供,這將使得Flash成為一扇向網絡罪犯敞開的大門,美國政府理應在2020年之前完成過渡工作。
本文由 黑客視界 綜合網絡整理,圖片源自網絡;轉載請註明“轉自黑客視界”,並附上鍊接。
閱讀更多 黑客視界 的文章
