在保證安全性方面,Adobe需要不斷從微軟的錯誤中吸取經驗教訓。如果你是一個黑客,打算入侵某個網絡系統,最常采用的攻擊方式就是利用該網絡中最普遍存在的某個軟件的漏洞,而漏洞率較高,同時又不經常更新的軟件就是你的首選。在2002年,你選擇的這個軟件很可能是微軟的Windows系統。而如今,所選擇的很可能是比Windows漏洞更多,更脆弱的Adobe Reader 或Flash Player。
根據安全軟件廠商F-Secure的統計,當前近半數的攻擊所利用的都是Acrobat Reader這個網民們最常用的PDF閱讀器。而基于web的PDF文件攻擊在去年前三個半月的統計數量為128例,今年同期則上升到了超過2300例
另外,越來越多的零日漏洞在補丁發布前就被公布出來。從而使得那些使用含有漏洞的軟件的用戶,就像靶子一樣在互聯網上等待著黑客的攻擊,直到出現安全補丁。
用于互聯網視頻瀏覽和富媒體應用的Flash Player軟件的插件中就包含有這樣的零日漏洞。而在今年春天的一起案例中,Adobe Reader爆出的零日漏洞迫使安全專家們建議廣大用戶臨時關閉瀏覽器的JavaScript功能,以避免受到攻擊。
近日在Black Hat 安全大會上,一位匿名的安全研究人員表示:“由于日前針對PDF的零日漏洞數量太多,使得大型銀行開始討厭Adobe了。”
F-Secure 在2008年跟蹤了1967起攻擊案例,其中最常見的攻擊類型是針對Microsoft Word的.doc文檔的攻擊。
這一系列令人驚訝的數字使得F-Secure 的首席研究員Mikko Hypponen 在四月份的RSA 大會上強烈建議Adobe Reader用戶轉換其它品牌的PDF文件閱讀器。
Hypponen 還表示,Adobe “在各方面都需要向微軟學習”。不論是在 Black Hat 大會上還是在Defcon安全會議上,大部分參與者都持同樣觀點。
卡巴斯基高級反病毒研究員Roel Schouwenberg表示:“Adobe就是下一個微軟,他們都是很遲鈍的意識到自己的產品有多么大的普及率,作為行業代表,我們必須敦促Adobe努力改善軟件安全問題。”
而Adobe的一位經理表示,問題的根源是Adobe的軟件普及率太大。
Adobe 產品安全和隱私經理Brad Arkin在一次采訪中表示:“考慮到諸如Reader和Flash Player這樣的產品在全球電腦的普及率已經到了相當高的程度,成為黑客攻擊目標也是很自然的事情"。
專家普遍認為,微軟也處于同樣的境地,而且很多方面仍然沒有改進,而唯一的區別是這兩個企業對于安全的回應態度不同。
微軟:走過的路,做過的事
2002年1月,比爾蓋茨啟動了Trustworthy Computing 計劃,將系統安全作為了公司未來發展的首要問題。由于之前對于病毒及軟件安全漏洞的策略不佳,導致微軟不得不在很長一段時間里與負面壓力以及公眾輿論進行斗爭。
微軟首先提出了軟件開發生命周期(Software Development Lifecycle)項目,用來將安全性融入軟件開發過程,隨后這一項目成為了行業標準。其努力程度值得稱贊。
現在輪到Adobe開始為它的軟件安全性努力奮斗了。
F-Secure的Hypponen在Black Hat的一次采訪中表示:“微軟是補丁管理的模范,他們不得不那樣做。而他們真的做到了。現在Flash和Reader無所不在,而針對微軟系統進行攻擊越來越難,于是攻擊者們都將槍口瞄準了更容易攻擊的靶子。”
另外,他和其他專家還認為, Adobe的補丁過程不如微軟迅速和安全,因此更加容易導致黑客攻擊。
坦率的講,Adobe的行動方向是對的。鑒于Reader的零日漏洞, Adobe在五月決定啟動基于季度的補丁發布方案 ,而具體的發布時間則與微軟的周四補丁發布日相同。
在Adobe發布聲明的同時, Adobe的 Arkin也表示,公司正在審查“我們安全團隊從漏洞發布到補丁推出的全部通信記錄以及補丁代碼本身等一切有關內容”。他還許諾,用戶可以“看到更多及時 的有關補丁的信息,更快的實現補丁安裝,以及同步為多個版本的軟件進行補丁修復工作。”
據Arkin 表示,Adobe也是第一家能夠針對微軟的活動模板庫進行軟件補丁修復的第三方廠商。
他說:“我們搜羅了Adobe的全部產品庫中超過200中產品,檢測哪些產品會受到漏洞的影響,在最近加入了針對Shockwave Player 和 Flash Player的修補工作。”
Arkin 還表示,在4月27日獲知針對Reader和Acrobat系列的零日漏洞后,已經在其后的兩周時間內給出了升級補丁。在前不久還針對Flash Player中存在的問題發布了升級補丁。對于補丁發布時間窗,Arkin 表示“我們很滿意目前的性能表現。”
除了針對當前出現的漏洞外,Adobe 還在檢查老版本軟件中存在的漏洞,并尋求多種改進產品的方式。Arkin 認為“Adobe融合了微軟和其它公司在應對此類問題上的最佳方式。”
不過,某個匿名的安全研究人員也在抱怨,認為從架構角度看,某些Adobe的產品與操作系統間的連接有些過度。他表示:“為什么在非信任數據環境下工作的軟件能夠直接訪問我們的受信數據呢?”這一問題實際是指 Adobe Reader能夠直接讀寫硬盤數據的能力。
對此問題,Arkin 認為,程序的功能需要程序在文件系統上進行保存和打開文件的操作,這就必須要對硬盤進行物理讀寫訪問:“Web瀏覽器都具備在文件系統上進行存儲的功能,”而這兩種程序的特權是類似的。
安全公司Counterpane 的首席技術官Bruce Schneier 認為,拋開這些與安全相抵觸的功能不談,由于Adobe的產品已經成了黑客的攻擊重點,市場壓力就足以使Adobe發生改變了。“不管公司是否重視安全 性,這種改變都是必須的,因為這完全是商業決策。我覺得Adobe應該意識到,他們可以以安全為賣點進行產品推廣”
IOActive 滲透測試部門經理Dan Kaminsky贊揚Adobe能夠正確面對安全問題,將安全作為未來的工作重點,并進行“自我調整”。他還補充說:“PDF的漏洞最近才被爆出,要記 住,任何軟件開發團隊都需要一定的時間來解決這種問題。”另外他還提到,Flash 9要比 Flash 8安全的多。
“有沒有某些產品是Adobe應該封鎖的?是的,他們有沒有這樣做呢?確實這樣做了。既然他們能對Flash這樣做,就也能夠對Reader這樣做。畢竟樹大招風,槍打出頭鳥。”
進入論壇>>聲明:IT商業新聞網登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點或證實其描述。文章內容僅供參考。新聞咨詢:(010)68023640.推薦閱讀
根據法庭文件顯示,芯片制造商AMD的一位高管,曾在AMD去年的重大重組期間,私下透露了大量可能會引發市場變動的內部消息。熟悉此事件的消息人士透露,這位高管便是AMD的前任首席執行官魯毅智。法庭文件顯示,魯毅智曾>>>詳細閱讀
地址:http://m.sdlzkt.com/a/xie/20111230/198858.html
網友點評
精彩導讀
科技快報
品牌展示