6月7日,Adobe关闭了Flash Player中的一个严重漏洞(
新闻 ,
公司发布 )。 来自中国的几个研究团队立即发现了漏洞CVE-2018-5002-我们正在谈论由于缓冲区溢出错误而导致远程执行任意代码。 这是一个零日漏洞:在发现之时,它已经在中东的针对性攻击中使用。 仅仅由于受影响产品的名称,这个相当严重的问题就被视为例行新闻:那么,RCE会让谁感到惊讶?
仅在今年,这是第二个关键的零日漏洞;第二个漏洞是在二月紧急
关闭的。 总体而言,Adobe Flash已成为不安全软件的示例,它始终位于受攻击最频繁的应用程序的顶部,并且多年来一直没有将此评级保持不变。 尽管经过多年尝试以客观上更有效的技术替代它,但在用户中仍然很常见。 无论采用何种技术,Flash都已成为Internet历史的组成部分。 使用几个链接和一个图表,让我们尝试不仅从安全角度来看Flash。
从辉煌的过去到悲伤的现在Adobe Flash的始祖SmartSketch绘图软件的早期历史是一个有用的案例,说明了如何在缺乏信息的情况下押注有前途的技术的发展。 试想一下自己在1992-1993年。 仍然没有这样的网络,互联网是科学家的玩具,是邮件和
新闻通讯爱好者的封闭俱乐部。 同时,还描述了有前途的技术:存在多媒体PC的标准,可穿戴设备的第一个平板概念。 目前尚不清楚这将发展并带来资金,最重要的是,所有这些技术将以什么顺序发展。 SmartSketch开发人员首先在第一个带有触摸屏(
PenPoint )的便携式计算机OS上打错了赌注。
该系统没有达到商业发布的标准,SmartSketch必须迅速移植到Mac OS和Windows,那里有很多绘图程序。 第二个战略决策-重新调整项目的用途以创建动画,甚至确保在网络上发布的可能性-都是正确的。 1996年,发布了名为FutureSplash Animator的产品。 大约在同一时间,微软意识到互联网是未来,开始用预算进行营销和开发相关项目,并创造出只有在10到15年内才真正可用的东西-各种网络电视和其他交互性东西。 交互式-这包括动画,在此软件的创建者被映射并泛滥成灾。
在同一个1996年,该项目被Macromedia(并更名为Flash)收购。 到新千年之初,免费的客户端插件已成为最常见的浏览器扩展。 2005年,Macromedia被卖给了Adobe,即使那时它不仅是用于创建复杂Web对象的软件,而且还是一个软件开发平台,Flash Player在其中成为一种交付方式。 可以追溯到很久以前的某个地方,计算机制造商,操作系统开发人员甚至浏览器在负责布线的有线电视运营商中扮演着光明的未来。 真正的祖母同时会从通过Flash平台创建和交付的内容中获利,并且完全由Adobe控制。 太好了吧?
如果不是为了开发移动设备而开发的交互方式(用笔和手指代替鼠标)并且硬件比传统PC弱得多,也许一切都会如此。 例如,在Windows Mobile中存在Flash,但是这种体验很一般。 苹果在2007年发布了第一款iPhone,这是一款智能手机,通过它可以轻松浏览整个网络。 通常将Flash的缺失描述为该设备的严重缺陷之一:如果没有Flash,则在零结束时不可能从许多资源中流式传输视频和音频,使用某些业务应用程序,并且当然不能玩任何
有趣的游戏。 在2010年,
也没有Flash的iPad发行后,史蒂夫·乔布斯(Steve Jobs)写
了一封公开信,解释了为什么Flash永远不会出现在苹果的移动设备上。
我将简要列出Jobs针对Flash的主要论点。 封闭标准(乔布斯称苹果也有很多
专有技术 ,但Web标准必须是开放的)。 作为反例,提供了由Apple开发并在所有地方使用的WebKit引擎(信函中提到了诺基亚智能手机,然后它仍然很重要!)。
资源和电池:一个例子是Flash中H.264编解码器的低效实现,这不允许充分利用硬件视频解码。 因此,处理器上的负载增加,电池寿命延长了半小时。 增强了鼠标的控制能力,无法用手指正常工作。 Adobe缺乏为iPhone和iPad优化Flash应用程序的动力。 最后,提到了安全性和可靠性(“ Macintosh电脑排名第一的原因”)。
哦,从这里开始 。 当然,Adobe总监
回答 :“罂粟花”据说掉落是因为轴是曲线。 关于电池消耗-都是骗人的。 而且,当然,“我们支持多平台”。 似乎从来没有实现过一次编写程序然后在任何东西上都能工作的梦想-即使是在PC上,甚至在咖啡机上。 无需Adobe和Flash平台,就可以以某种方式解决有效编码的问题。
在相当长的一段时间内,它是一个相对简单便捷的工具,并且向大量受众提供了有效的投放机制。 然后它不再是这样的工具:2017年7月25日,Adobe
宣布逐步淘汰Flash开发和支持。 原因是那些相同的开放Web标准的普遍应用。 从那时起,Flash作为僵尸平台又名“定时炸弹”在数百万用户的计算机上扫雷的历史开始了。
有多糟这个问题应该分为两个部分:从安全的角度来看,从个人角度看,您的一切状况有多严重?使用Adobe Flash的一切状况有多严重? 第一个问题很容易由您自己回答:带有小部件的Adobe网站
页面用于检查Flash Player的版本。 就我而言,Chrome浏览器首先要求获得运行Flash的许可,然后显示我拥有最新版本,并在6月7日修补了zirodei。 一切似乎都很好:浏览器制造商(Chrome)自动支持Flash插件的相关性。 另一方面,完全有可能完全关闭此功能:对于普通用户,加载页面时启动Flash的提议不会引起特殊问题。 而且在很多情况下,即使是最新版本的插件也极易受到攻击。
一般来说,Flash Player有多糟糕? CVE漏洞数据库提供了概述。 自发布以来,Flash Player已有关于1047个漏洞的信息。 正如Adobe
宣布大幅提高平台安全性一样,在2015年和2016年向数据库中添加了最多数量的漏洞。 Adobe Reader程序(通常也用于网络攻击)在同一CVE数据库中记录了368个漏洞,几乎减少了三倍。 CVE数据库中Flash Player的漏洞的86%归类为安全级别9-10,即这些漏洞是关键漏洞。 79%被直接标记为导致执行任意代码。
不安全软件的价格我不能说我同意史蒂夫·乔布斯(Steve Jobs)关于Flash的来信。 别忘了它是2010年编写的,当时很难不用铃鼓跳舞就无法以HTML5格式观看YouTube视频(Flash通常在2015年才
关闭 )。 丢失闪存是一个有关技术的商业故事,该技术在成为几乎最受攻击的软件之前就已经开始失去优势。
并想像一下自己取代Adobe:十三年来,技术为公司带来了丰厚的收益。 由于多种原因,该技术尚需时日,但由于该行业希望确保兼容性的原因,该技术还将再产生三年的收益。 发展中止,投资为零,有收入,有美! 但是,不,某些(长期采用的)技术解决方案或仅仅是安全监督迫使我花费大量的金钱和资源来以最小的体面形式维护不再值得的产品。 但是这是必要的:否则会损害声誉,甚至造成法律费用。
通过分析读取某人的记忆会很有趣:它是如何发生的? 还建议您在将来如何避免这种情况的提示。 到目前为止,我们只能得出结论,几乎在产品开发开始之前就必须对安全性进行投资。 当然,您可以认为,在收到利润和奖金之后,其他人已经在倾斜最初设置的门框了。 但这不是一个严肃的方法。 在我们这个时代如何负责任地进行系统形成软件的开发? 找出10到15年的时间?
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。