以国家网络安全为由,俄勒冈州民主党人士、美国参议员Ron Wyden于上周三同时致函肩负美国政府机关网络安全重任的美国国家标准与技术中心(National Institute of Science and Technology,NIST)、美国国家安全局(NSA)与国土安全部(DHS),敦促这三大政府机构务必尽快制定出一项计划,在Adobe公司于2020年停止提供更新和技术支持之前,全面停用Adobe Flash。
Adobe Flash是美国Macromedia公司(后来被Adobe公司收购)所设计的一款二维矢量动画软件,可用于制作动画、游戏、演示文稿、应用程序和其它允许用户交互的内容,并被作为嵌入式的浏览器视频播放器。
随着时间的推移,Adobe Flash与现代浏览器的兼容性愈来愈低,再加上层出不穷的安全漏洞(早在2008年4月8日,Adobe Flash Player 9 .0.115及更早版本就被发现存在高危漏洞),都使得这个曾风靡全球的软件开始逐渐衰落。在去年7月份,Adobe公司宣布将在2020年彻底停止为Adobe Flash发布更新及提供技术支持。
“技术专家普遍认为,Flash存在严重且无法修补的安全漏洞,允许攻击者获取对网站访问者计算机的完全控制权,进而深入到他们的数字生活中去。”Wyden在他的公开信中写道,“US-CERT从2010年开始就不断向Flash用户提出警告,在Adobe于2020年停止对Flash的支持之后,Flash的网络安全问题只会日益恶化。”
Wyden还指责美国政府经常无法很好地完成在此类过时软件被彻底淘汰之前的过渡工作。例如,因为没有来得及在微软中止对Windows XP的更新之前完成操作系统切换工作,美国政府不得不花费数百万美元来为老旧的Windows XP系统获取单独的技术支持。
Wyden呼吁美国政府,应要求各个机构停止部署基于Flash的内容,并在2019年8月1日之前从所有政府网站上移除基于Flash的内容。Wyden还建议创建一个小型试点计划,于明年3月1日起从政府员工所使用的计算机中删除Adobe Flash。
事实上,Wyden的担忧的确值得我们思考。自Adobe Flash面世的十多年以来,这个无处不在的软件一直都是黑客攻击的目标。典型的策略包括浏览器弹出窗口、欺骗用户安装和运行一个虚假的Flash播放器,而实际上都是为了传播恶意软件。同时,大量合法Flash播放器中的漏洞也遭到黑客的滥用,以通过浏览器攻击受害者。值得注意的是,单一的一个Flash漏洞可以同时适用于多个浏览器,因为大多数浏览器都支持这个软件。
尽管Adobe公司在加强Flash的安全方面投入了大量的精力和资金,但自2005年以来,已有超过1050个Flash漏洞被记录在案。根据CVEDetails的统计数据,这要比Windows XP或IE浏览器要多得多。
仅在去年一年里,就有71个与Flash相关的CVE漏洞被记录,其中56个的危险程序都被评定为关键级别,允许攻击者远程执行代码。就在本月,Adobe公司修补了两个Flash 漏洞——一个关键级别的任意代码执行漏洞(CVE-2018-5007)和一个重要级别的越界读信息泄露漏洞(CVE-2018-5008)。
Wyden表示,一旦Adobe公司停止对该Flash的支持,这种情况只会变得更糟。到了2020年,新发现的漏洞将不会有补丁被提供,这将使得Flash成为一扇向网络罪犯敞开的大门,美国政府理应在2020年之前完成过渡工作。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
