原标题:3月大修之后 Flash的安全问题继续被诟病?

感谢孙大马的投递

上周,Adobe发布了新的安全公告,再次批量修复了数十个安全漏洞,而与此同时国外厂商已监测到此次Adobe补丁修复的CVE-2016-1019漏洞被用于恶意攻击用户,虽然目前的攻击样本对于上个月更新的Flash版本并不生效,但Adobe仍建议用户尽快升级本月补丁或者下载最新版的Flash,彻底封堵漏洞。

众所周知,Adobe Flash Player是电脑用户装机时的必备软件之一,其在Windows、Mac等系统的普及度非常广泛,目前全球有超过10 亿用户在 Windows 、Mac 、 Chrome OS 以及Linux 电脑上使用 Flash 。因此这款软件也必将成为不法分子攻击的对象,黑客利用Adobe Flash Player的漏洞植入木马,窃取电脑中的资料信息甚至账户密码,给普通用户的个人隐私和财产安全带来极大的隐患。有国外厂商发现,从3月31日开始有敲诈者木马利用本次爆出的Flash 0day漏洞进行传播。

事实上Flash的安全性一直饱受诟病,Facebook首席安全官埃里克斯 斯塔莫斯就曾向Adobe提出建议:停止修复Flash的漏洞,直接放弃这款软件。2015年,因为Flash被发现存在严重的漏洞。Google和Mozilla还在各自浏览器中临时禁用了Flash。

Bromium发布的一份年度安全报告显示,2015年是Flash最糟糕的一年,Flash的漏洞数量在2015年翻了三倍。专门针对Flash发动攻击的黑客测试和攻击框架Metasploit当中内建的现成Flash漏洞数量,也比2014年增加了200%。

Adobe表示依然会为Flash提供支持,并且主要的支持都将集中在安全方面,Adobe称它将会与微软、谷歌以及全球安全厂商一起共同维护Flash安全性,安全厂商和安全研究人员为Flash的漏洞发现和修补做出了很大贡献,2015年,谷歌和360分别报告了105个和61个Flash漏洞,排名前两位。仅去年12月,360Vulcan团队就曾一次性向Adobe提交了34个高危漏洞,团队成员Yuki Chen一人就提交了29个漏洞。

Adobe为了完善自身的安全体系,付出了巨大的努力,在过去一年中,Flash漏洞被各公司和团队的白帽子大量发现并修复,同时,Flash也听取微软、Google在内的公司安全团队的建议,为自身的产品添加缓和措施“大杀器”,试图封堵漏洞的利用方式,一次性了结一种类型的攻击方法,使得Flash漏洞被恶意利用的难度增加。

Adobe最近的一次为Flash添加“大杀器”是今年的3月份,在最新版的Adobe Flash Player 21.0.0.182中,这次堪称是对Flash安全性的一次“大修”,一次性使得很多Flash漏洞难以使用,包括已经被利用的CVE-2016-1019漏洞和4月份修补的绝大多数漏洞在新版Flash中都失去作用,或者利用的难度极大提升。

图1:360Vulcan团队在Pwn2Own上提交的3个Flash高危漏洞

不过在稍后举行的Pwn2own 2016比赛上,360Vulcan团队还是发现了可以在最新版Flash上可以成功利用的三个高质量安全漏洞CVE-2016-1015、CVE-2016-1016和CVE-2016-1017,利用这些漏洞攻破了Flash的最新版本。在4月8日的这次最新安全公告中,Adobe也修复了这3个漏洞,使得安全性进一步得到提升。