في 7 يونيو ، أغلقت Adobe ثغرة خطيرة في Flash Player (
الأخبار ،
منشور الشركة ). تم اكتشاف الثغرة CVE-2018-5002 على الفور من قبل العديد من فرق البحث من الصين - نحن نتحدث عن التنفيذ البعيد للرمز التعسفي نتيجة لخطأ تجاوز سعة المخزن المؤقت. هذه نقطة ضعف في يوم الصفر: في وقت الاكتشاف ، كانت تستخدم بالفعل في الهجمات المستهدفة في الشرق الأوسط. يُنظر إلى هذه المشكلة الخطيرة إلى حد ما على أنها أخبار روتينية ببساطة بسبب اسم المنتج المتأثر: حسنًا ، من الذي يمكن أن يفاجأه RCE في ومضة؟
هذا العام وحده ، هذا هو ثغرة يوم الصفر الحرجة الثانية ؛ تم
إغلاق الأول على وجه السرعة في فبراير. أصبح Adobe Flash بشكل عام مثالًا مثاليًا للبرامج غير الآمنة ، فهو دائمًا في أعلى التطبيقات الأكثر تعرضًا للهجوم ، ولا يترك هذا التصنيف لسنوات. لا يزال هذا الأمر شائعًا بين المستخدمين ، على الرغم من سنوات عديدة من المحاولات لاستبداله بتكنولوجيات أكثر فعالية من الناحية الموضوعية. بغض النظر عن التكنولوجيا ، أصبح Flash جزءًا لا يتجزأ من تاريخ الإنترنت. باستخدام زوجين من الروابط ومخطط واحد ، دعنا نحاول النظر إلى Flash من وجهة نظر أمنية وليس فقط.
من ماض مجيد إلى هدية حزينةيعد التاريخ المبكر لسلف Adobe Flash ، برنامج رسم SmartSketch ، حالة مفيدة حول كيفية الرهان على تطوير تقنيات واعدة في مواجهة نقص المعلومات. فقط تخيل نفسك في عام 1992-1993. لا يوجد حتى الآن شبكة ويب ، الإنترنت لعبة للعلماء وناد مغلق لعشاق التواصل في البريد
والأخبار . في الوقت نفسه ، تم وصف جميع التقنيات الواعدة: هناك معايير لأجهزة الكمبيوتر متعددة الوسائط ، للأجهزة القابلة للارتداء ، هناك مفاهيم أولية للأجهزة اللوحية. ليس من الواضح أن هذا سوف يتطور ويجلب المال ، والأهم من ذلك ، في أي ترتيب ستطلق كل هذه التقنيات. قام مطورو SmartSketch أولاً بالرهان الخاطئ على أحد أنظمة التشغيل الأولى لأجهزة الكمبيوتر المحمولة المزودة بشاشة تعمل باللمس (
PenPoint ).
لم يرق النظام إلى الإصدار التجاري ، وكان لا بد من نقل SmartSketch بسرعة إلى نظامي التشغيل Mac OS و Windows ، حيث كان هناك الكثير من برامج الرسم. والقرار الاستراتيجي الثاني - إعادة استخدام المشروع لإنشاء الرسوم المتحركة ، وحتى لضمان إمكانية النشر على الويب - اتضح أنه صحيح. في عام 1996 ، تم إصدار منتج أعيد تسميته FutureSplash Animator. في نفس الوقت تقريبًا ، أدركت Microsoft أن الإنترنت هو المستقبل ، وبدأت في ضخ المشاريع ذات الصلة بميزانيات للتسويق والتطوير وإنشاء شيء يمكن استخدامه حقًا في غضون 10-15 عامًا فقط - جميع أنواع تلفزيون الويب والأشياء التفاعلية الأخرى. تفاعلية - وهذا يشمل الرسوم المتحركة ، وهنا صانعو خريطة البرنامج وغمرهم.
في نفس عام 1996 ، تم الاستحواذ على المشروع من قبل Macromedia (وأعيد تسميته Flash). مع بداية الألفية الجديدة ، أصبح المكون الإضافي المجاني من جانب العميل امتداد المتصفح الأكثر شيوعًا. في عام 2005 ، تم بيع Macromedia إلى Adobe ، وحتى ذلك الحين لم يكن برنامجًا لإنشاء كائنات ويب معقدة فحسب ، بل كان نظامًا أساسيًا لتطوير البرامج ، حيث أصبح Flash Player مجرد طريقة تسليم. في مكان ما في ذلك الوقت ، يمكن للمرء أن يرى لمحات من مستقبل مشرق حيث يلعب مصنعو الكمبيوتر ، ومطورو أنظمة التشغيل وحتى المتصفحات دور مشغلي تلفزيون الكابل المسؤولين عن مد الأسلاك. تكسب الجدات الحقيقية في نفس الوقت المحتوى الذي يتم إنشاؤه وتسليمه عبر منصة Flash ، ويتم التحكم فيه بالكامل بواسطة Adobe. عظيم ، صحيح؟
ربما كان كل شيء سيكون كذلك إذا لم يكن لتطوير الأجهزة المحمولة حيث كان هناك سيناريو تفاعل مختلف (قلم وأصابع بدلاً من الماوس) وأجهزة أضعف بكثير من أجهزة الكمبيوتر التقليدية. كان Flash موجودًا ، على سبيل المثال ، في Windows Mobile ، لكن التجربة كانت كذلك. في عام 2007 ، أصدرت شركة Apple أول هاتف iPhone ، وهو هاتف ذكي أصبح فيه عرض الويب بالكامل أكثر أو أقل ملاءمة. غالبًا ما تم تصوير غياب Flash كواحد من العيوب الخطيرة للجهاز: بدونه ، في نهاية الصفر ، كان من المستحيل دفق الفيديو والصوت من العديد من الموارد ، واستخدام بعض تطبيقات الأعمال ، وبطبيعة الحال ، كان من المستحيل تشغيل نوع من
المزرعة الممتعة . في عام 2010 ، بعد إصدار iPad مباشرة ، والذي
لم يكن به فلاش أيضًا ، كتب ستيف جوبز خطابًا
مفتوحًا يوضح سبب عدم ظهور Flash أبدًا على أجهزة Apple المحمولة.
سأذكر الحجج الرئيسية لـ Jobs ضد Flash لفترة وجيزة. معيار مغلق (تنص الوظائف على أن Apple لديها أيضًا الكثير من
الملكية ، ولكن يجب أن تكون معايير الويب مفتوحة). يتم تقديم محرك WebKit الذي طورته Apple ويستخدم في كل مكان على أنه مثال مضاد (يتم ذكر هواتف Nokia الذكية في الرسالة ، ثم لا تزال ذات صلة!).
الموارد والبطارية: مثال على ذلك هو التنفيذ غير الفعال لبرنامج الترميز H.264 في Flash ، والذي لا يسمح بالاستخدام الكامل لفك تشفير فيديو الأجهزة. وبالتالي زيادة الحمل على المعالج ونصف ساعة من عمر البطارية. شحذ السيطرة على الماوس وعدم القدرة على العمل بشكل طبيعي مع الأصابع. افتقار Adobe إلى الدافع لتحسين تطبيقات Flash لأجهزة iPhone و iPad. وأخيرًا ، تم ذكر كل من الأمان والموثوقية ("سبب سقوط أجهزة كمبيوتر Macintosh رقم واحد").
أوه ، ما بدأ هنا . رد مدير Adobe بالطبع: "الخشخاش" يُفترض أنه يسقط لأن المحور منحنى. حول استهلاك البطارية - كل هذا كذب. وبالطبع ، "نحن مع منصات متعددة". يبدو أن الحلم بأن البرنامج مكتوب مرة واحدة ثم يعمل على أي شيء - حتى على جهاز الكمبيوتر ، حتى على صانع القهوة ، لم يتحقق أبدًا. يتم حل مشكلات الترميز الفعال بطريقة أو بأخرى ، ببساطة بدون Adobe و Flash النظام الأساسي.
لقد كانت أداة بسيطة ومناسبة نسبيًا لفترة طويلة نسبيًا ، مع آلية تسليم فعالة لجمهور كبير. ثم توقفت عن أن تكون هذه الأداة: 25 يوليو 2017
تعلن Adobe
عن الإلغاء التدريجي لتطوير Flash ودعمه. السبب هو التطبيق العالمي لنفس معايير الويب المفتوحة. منذ ذلك الحين ، بدأ تاريخ الفلاش كمنصة زومبي ألغام AKA على أجهزة الكمبيوتر لملايين المستخدمين.
ما مدى سوء ذلك؟يجب تقسيم السؤال إلى قسمين: ما مدى سوء كل شيء شخصيًا معك وما مدى سوء كل شيء مع Adobe Flash ، من حيث المبدأ ، من وجهة نظر أمنية؟ من السهل الإجابة على السؤال الأول بنفسك: انتقل إلى
صفحة موقع Adobe باستخدام الأداة المصغرة للتحقق من إصدار Flash Player. في حالتي ، طلب متصفح Chrome أولاً الحصول على إذن لتشغيل Flash ، ثم أظهر أن لدي أحدث إصدار ، مع zirodei مصححة من 7 يونيو. يبدو أن كل شيء على ما يرام: تدعم الشركة المصنعة للمتصفح (Chrome) تلقائيًا صلة المكون الإضافي Flash. من ناحية أخرى ، من الممكن تمامًا إيقاف تشغيل هذه الوظيفة تمامًا: بالنسبة للمستخدم العادي ، فإن عرضًا لتشغيل Flash عند تحميل الصفحة لن يسبب أسئلة خاصة. وهناك العديد من المواقف التي يكون فيها أحدث إصدار من البرنامج المساعد عرضة للخطر بشكل كبير.
ما مدى سوء برنامج Flash Player بشكل عام؟ توفر قاعدة بيانات الضعف CVE لمحة عامة.
هناك لـ Flash Player في وقت النشر كانت هناك معلومات حول 1047 ثغرات أمنية منذ عام 2005. تمت إضافة أكبر عدد من نقاط الضعف إلى قاعدة البيانات في 2015 و 2016 ، تمامًا كما
أعلنت Adobe
عن زيادة جذرية في أمان النظام الأساسي. يحتوي برنامج Adobe Reader ، الذي يستخدم أيضًا في الغالب على الهجمات السيبرانية ، على 368 ثغرة مسجلة في نفس قاعدة بيانات CVE - أقل ثلاث مرات تقريبًا. يتم تصنيف 86٪ من الثغرات الأمنية في Flash Player في قاعدة بيانات CVE على أنها مستويات أمان من 9 إلى 10 ، أي أنها نقاط ضعف حرجة. تم وضع علامة على 79٪ منها على أنها تتسبب في تنفيذ تعليمات برمجية عشوائية.
سعر البرامج غير الآمنةلا يمكنني القول أنني أتفق مع رسالة ستيف جوبز حول Flash. لا تنس أنه تم كتابته في عام 2010 ، عندما كان من الصعب مشاهدة مقطع فيديو على YouTube بتنسيق HTML5 دون الرقص مع الدف (تم
إيقاف تشغيل الفلاش بشكل عام فقط في عام 2015). Losing Flash هي قصة تجارية عن تقنية بدأت تفقد مكانها قبل وقت طويل من أن تصبح البرامج الأكثر تعرضًا للهجوم.
وتخيل نفسك مكان Adobe: على مدى 13 عامًا ، جلبت التكنولوجيا للشركة الكثير من المال. لعدد من الأسباب ، حان الوقت للراحة ، ولكن لثلاث سنوات أخرى ستحقق أرباحًا - بسبب رغبة الصناعة في ضمان التوافق. توقف التطوير ، الاستثمار صفر ، هناك دخل ، جمال! ولكن لا ، بعض الحلول التقنية (التي تم اعتمادها منذ فترة طويلة) أو مجرد إشراف أمني تجبرني على إنفاق أموال وموارد كبيرة على الحفاظ على منتج لائق لم يعد يستحقه. ولكن من الضروري: إلحاق الضرر بالسمعة ، وحتى التكاليف القانونية.
سيكون من المثير للاهتمام قراءة ذكريات شخص ما مع التحليل: كيف حدث ذلك؟ يُنصح به أيضًا مع نصائح حول كيفية تجنب ذلك في المستقبل. حتى الآن ، يمكننا أن نستنتج فقط أن الاستثمار في الأمن ضروري تقريبًا قبل بدء تطوير المنتج. يمكنك ، بالطبع ، التفكير في أن بعض الأشخاص الآخرين سيقومون بالفعل بجمع الدعامات التي تم إنشاؤها في الأصل ، بعد استلام الأرباح والمكافآت. لكن هذا ليس نهجًا جادًا. كيف تقترب بمسؤولية تطوير برمجيات تشكيل النظام في عصرنا؟ اكتشف في 10-15 سنة؟
إخلاء المسؤولية: قد لا تتوافق الآراء الواردة في هذا الملخص دائمًا مع الموقع الرسمي لـ Kaspersky Lab. يوصي المحررون الأعزاء بشكل عام بمعالجة أي آراء مع شك صحي.