研究员称Adobe Flash安全策略的风险高

安全
Bailey表示,据他所知,目前此技术尚未被广泛用于攻击,但「许多网站都潜在安全弱点」。(Baily在部落格撰文指出,Gmail之前也出现安全问题,可能遭到这类攻击,但后来已亡羊补牢。)

研究员指出,Adobe Flash的安全政策有漏洞,可能导致骇客操纵浏览器处理Flash档的方式,造成访客浏览使用者上传内容的网站时涉险。
Foreground Security资深研究员Mike Bailey周三接受访问时表示,问题出在Adobe Flash的原始安全政策。他说:「Adobe应修改Flash Player处理安全政策的方式,不该允许任意的内容在未经许可的情况下,迳自存取应用程式。」

Bailey指出,Flash Player的预设状态是什麽都信任,但应该「只信任获使用者允许的」。

例如,某人可能上传看似某社群网站的图片,但其实却是一个有问题的Flash档,一旦开启就会在浏览器内执行恶意程式码。Foreground Security资讯长Mike Murray说,任何人只要阅览该图片,电脑就可能中毒。

Bailey表示,据他所知,目前此技术尚未被广泛用于攻击,但「许多网站都潜在安全弱点」。(Baily在部落格撰文指出,Gmail之前也出现安全问题,可能遭到这类攻击,但后来已亡羊补牢。)

他表示,Adobe前阵子便知悉此事,但表示无法修补,否则可能破坏许多网路上现有的Flash内容和应用程式。

Bailey建议网管人员修改网站设定,以降低骇客入侵风险;使用者应完全解除Flash,或使用NoScript(一种浏览器外挂程式,可拦截不受信任网站冒出的Flash和Java)。

Adobe发言人发表声明回应:「Adobe向来建议,不应允许任意上传或Flash (SWF)内容的附加档,以免可能遭到滥用,例如Mike Bailey举出的情况。Adobe已发表数种最佳措施建议与部落格公告,供网站开发者与所有人参考,以呈现安全的Flash内容。例如,本公司的 Flash Player安全白皮书就详细说明我们的模式。」

责任编辑:王文文 来源: ZDNet
相关推荐

2015-12-21 13:39:47

2019-08-07 06:04:15

网络风险数据泄露漏洞

2012-01-13 13:51:08

2019-08-15 08:07:18

2011-03-23 10:58:52

2009-08-05 10:49:50

信息安全策略安全管理

2014-03-12 10:42:44

2015-09-02 10:21:55

2010-06-13 12:22:28

2014-04-21 10:24:06

2020-02-02 09:23:44

软件安全渗透测试信息安全

2010-02-05 17:10:01

Android Ado

2010-05-05 15:38:31

Oracle安全策略

2021-02-21 00:18:47

恶意软件研究职业技术

2011-06-20 13:29:44

2013-02-20 10:33:28

Windows安全策略

2017-02-07 09:28:29

云安全策略云计算

2022-02-13 00:13:26

云安全数据安全

2024-01-10 08:03:50

数据安全网络安全

2013-07-17 09:12:55

点赞
收藏

51CTO技术栈公众号