安全研究人员：Adobe Flash安全政策有漏洞风险高

CNET科技资讯网11月16日国际报道 研究人员指出，Adobe Flash的安全政策有漏洞，可能导致黑客操纵浏览器处理Flash文件的方式，造成访客浏览使用者上传内容的网站时涉险。

Foreground Security资深研究员Mike Bailey上周接受访问时表示，问题出在Adobe Flash的原始安全政策。

他说：Adobe应修改Flash Player处理安全政策的方式，不该允许任意的内容在未经许可的情况下，迳自访问应用程序。

Bailey指出，Flash Player的预设状态是什么都信任，但应该只信任获使用者允许的。

例如，某人可能上传看似某社交网站的图片，但其实却是一个有问题的Flash文件，一旦开启就会在浏览器内执行恶意程序代码。Foreground Security CIO Mike Murray说，任何人只要阅览该图片，电脑就可能中毒。

Bailey表示，据他所知，目前此技术尚未被广泛用于攻击，但许多网站都潜在安全漏洞。 (Baily在博客撰文指出，Gmail之前也出现安全问题，可能遭到这类攻击，但后来已亡羊补牢。)

他表示，Adobe前阵子便知悉此事，但表示无法修补，否则可能破坏许多网络上现有的Flash内容和应用程序。

Bailey建议网管人员修改网站设定，以降低黑客入侵风险；使用者应完全解除Flash，或使用NoScript(一种浏览器外挂程序，可拦截不受信任网站冒出的Flash和Java)。

Adobe发言人发声明回应：Adobe向来建议，不应允许任意上传或Flash (SWF)内容的附加档，以免可能遭到滥用，例如Mike Bailey举出的情况。Adobe已发布数种最佳措施建议与博客公告，供网站开发者与所有人参考，以呈现安全的Flash内容。例如，本公司的Flash Player安全白皮书就详细说明我们的模式。