快升级 莫让Flash把安全引进来

快升级 莫让Flash把安全引进来       据国外媒体报道，Adobe公司近日已经对它的Flash播放器进行了升级，修复了它存在的七个安全漏洞。Flash播放器是一个被广泛应用于交互式网页和广告条中的图形、视频播放器。 
　　Adobe公司将这个补丁包划为“严重”等级，并建议人们尽快升级到它的最新版9.0.124.0，因为所有的安全漏洞都可以被安全利用来在一个计算机上执行任何代码。

　　在上个月的CanSecWest安全大会的PWN 2 OWN安全大赛上，安全专家Macaulay就是成功的利用了Flash中的一个安全漏洞，从而成功攻破了装有Vista的笔记本，赢得了这个笔记本和比赛奖金。他后来表示世界上有90%的计算机是存在安全漏洞的。

　　现在安全们已经开始越来越多的把目光转向Flash播放器，利用它作为安全计算机的一个重要途径。Flash播放器深受安全喜爱的原因有二：首先大多数网页浏览器都安装了Flash播放器，据分析公司最近的数据表明，目前有98%的全球浏览器安装了Flash播放器，这对安全来说无疑是一个很大的市场;而且安全可以通过恶意广告条来充分利用Flash播放器中存在的这些安全漏洞。

　　Adobe公司在其安全公告中表示，“通过用户的网页浏览器、电子邮件客户端或其它包含或引用了Flash播放器的应用程序，安全可以从远程利用这些漏洞来安全用户的计算机。”

　　如果一个恶意广告Flash被广泛发布的话，安全有可能会控制很多计算机。微软的一个最有价值安全专家和安全博客作者Sandi Hardmeier表示，这种“流氓广告”目前已经到处可见。

　　最近一个星期天，Hardmeier就发现了一个虚假的FedEx广告条，可以把点击它的用户重定向到一个销售危险安全软件的网站。

　　本周二安全厂商Websense在博客中表示，在美国新闻网站USA Today网站上存在一个恶意广告条。如果用户查看这个恶意广告的话，他的浏览器窗口会立即最小化，然后弹出一个警告窗口表示该计算机已被恶意软件感染。即使用户点击“取消”按钮，其浏览器也会被重定向到另一个销售间谍软件的网站。

　　在今年1月份，Adobe和其他软件厂商已经共同对它们的Flahs开发工具进行了升级，来阻挡安全创建可以实现跨站点脚本安全的恶意Flash文件。

　　例如，Flash播放器以前没有充分地限制对跨域策略文件的解释和使用，远程安全者可以在强制跨域策略文件时导致错误，这样就可以绕过跨域安全模块执行跨站脚本安全。现在Adobe公司增加了一个叫“跨域策略检查”的功能来修复这个漏洞。

　　我们在上网的过程中会经常碰到使用Flash播放器的网页，因此建议大家尽快升级自己的播放器，以免成为安全们的“猎物”。