我们都知道,绝大多数网络安全专业人员都希望看到Adobe Flash尽早终结,而最近Adobe的行动表明这个梦想可能会成真。
Adobe最近宣布,Flash Professional CC将改名为Animate CC,“它将成为Adobe主要网络动画工具,用于开发HTML5内容,同时继续支持创建Flash内容。”这个新软件将在2016年年初发布,并将推出针对桌面浏览器的新HTML5视频播放器。
Adobe表示,HTML5等开放标准已经足够成熟,可提供Flash提供的很多功能。同时,Adobe称其将继续为Flash推出安全和功能更新,但也承认,HTML5等标准“将会是未来所有设备的网络平台”。
Adobe对HTML5新的支持让专家猜想Adobe Flash最终将终结。
Malwarebytes实验室恶意软件情报负责人Adam Kujawa表示,他希望Adobe将最终终结Flash,因为尽管该软件仍有用,但其安全漏洞带来的风险大于其带来的优势。
“Adobe很可能会尽可能久地保留Flash,只要还有人需要使用Flash,Adobe可能会继续修复新Flash版本,”Kujawa称,“在一年内,不太可能会有很多团队使用Flash,在五年内,在很多系统上甚至不会安装Flash。”
Rook Security公司产品专家Michael Taylor表示,Adobe Flash何时终结将取决于Adobe是否扩展移植工具。
“现在Flash Professional CC平台中已经有转换Flash内容到HTML5的功能,并且,谷歌自动转换器Flash广告为HTML5,”Taylor称,“我相信Adobe正在试图将Flash作为不断增加的HTML5内容的并行解决方案。”
Taylor还指出,现在主要通过Flash托管的内容包括基于Web的游戏和流视频服务,Adobe声称,HTML5和其他“新标准尚未完全成熟”,还无法在这些用例媲美Flash播放器。
Tayler称,对于企业来说,最好的方法是避免将Flash安装在所有企业设备,并投资于从Flash HTML5的过渡。
“这将使他们在没有Flash插件安全隐患的情况下提供这些内容,这些内容通常是针对娱乐和与技术不太相关的市场,”Taylor称,“此外,随着更多浏览器在默认情况下禁用Flash,HTML5内容将会迅速渗透到娱乐市场,因为这些内容在安装浏览器后可立即使用,而不需要安装额外的加载项。”
Norse Corp公司威胁情报和机器学习主管Wes Widner称,企业应该记住,HTML5也不能幸免于漏洞问题。
“它具有java和flash提供的所有功能,例如文件和多媒体接入,并将这些移动到浏览器,”Widner称,“这可以消除第三方插件带来的安全隐患,但这现在带来了浏览器本身的安全问题。”
Taylor指出,OWASP HTML5 Security Cheat Sheet已经列出了一些比较常见的HTML5漏洞。
“这包括可允许HTML5资产之间通信、对本地存储进行跨站脚本攻击、SQL注入攻击的漏洞,这些会导致恶意消耗CPU资源,”Taylor称,“HTML5并不是万能药,它不可能解决托管动态网页内容的所有安全问题。它所提供的是完善的开放的框架,用于创建内容和托管内容,而不需要第三方Flash加载项—这一直是大部分基于浏览器攻击的攻击向量。”
