在保證安全性方面,Adobe需要不斷從微軟的錯(cuò)誤中吸取經(jīng)驗(yàn)教訓(xùn)。如果你是一個(gè)黑客,打算入侵某個(gè)網(wǎng)絡(luò)系統(tǒng),最常采用的攻擊方式就是利用該網(wǎng)絡(luò)中最普遍存在的某個(gè)軟件的漏洞,而漏洞率較高,同時(shí)又不經(jīng)常更新的軟件就是你的首選。在2002年,你選擇的這個(gè)軟件很可能是微軟的Windows系統(tǒng)。而如今,所選擇的很可能是比Windows漏洞更多,更脆弱的Adobe Reader 或Flash Player。
根據(jù)安全軟件廠商F-Secure的統(tǒng)計(jì),當(dāng)前近半數(shù)的攻擊所利用的都是Acrobat Reader這個(gè)網(wǎng)民們最常用的PDF閱讀器。而基于web的PDF文件攻擊在去年前三個(gè)半月的統(tǒng)計(jì)數(shù)量為128例,今年同期則上升到了超過(guò)2300例
另外,越來(lái)越多的零日漏洞在補(bǔ)丁發(fā)布前就被公布出來(lái)。從而使得那些使用含有漏洞的軟件的用戶,就像靶子一樣在互聯(lián)網(wǎng)上等待著黑客的攻擊,直到出現(xiàn)安全補(bǔ)丁。
用于互聯(lián)網(wǎng)視頻瀏覽和富媒體應(yīng)用的Flash Player軟件的插件中就包含有這樣的零日漏洞。而在今年春天的一起案例中,Adobe Reader爆出的零日漏洞迫使安全專家們建議廣大用戶臨時(shí)關(guān)閉瀏覽器的JavaScript功能,以避免受到攻擊。
近日在Black Hat 安全大會(huì)上,一位匿名的安全研究人員表示:“由于日前針對(duì)PDF的零日漏洞數(shù)量太多,使得大型銀行開(kāi)始討厭Adobe了。”
F-Secure 在2008年跟蹤了1967起攻擊案例,其中最常見(jiàn)的攻擊類型是針對(duì)Microsoft Word的.doc文檔的攻擊。
這一系列令人驚訝的數(shù)字使得F-Secure 的首席研究員Mikko Hypponen 在四月份的RSA 大會(huì)上強(qiáng)烈建議Adobe Reader用戶轉(zhuǎn)換其它品牌的PDF文件閱讀器。
Hypponen 還表示,Adobe “在各方面都需要向微軟學(xué)習(xí)”。不論是在 Black Hat 大會(huì)上還是在Defcon安全會(huì)議上,大部分參與者都持同樣觀點(diǎn)。
卡巴斯基高級(jí)反病毒研究員Roel Schouwenberg表示:“Adobe就是下一個(gè)微軟,他們都是很遲鈍的意識(shí)到自己的產(chǎn)品有多么大的普及率,作為行業(yè)代表,我們必須敦促Adobe努力改善軟件安全問(wèn)題。”
而Adobe的一位經(jīng)理表示,問(wèn)題的根源是Adobe的軟件普及率太大。
Adobe 產(chǎn)品安全和隱私經(jīng)理Brad Arkin在一次采訪中表示:“考慮到諸如Reader和Flash Player這樣的產(chǎn)品在全球電腦的普及率已經(jīng)到了相當(dāng)高的程度,成為黑客攻擊目標(biāo)也是很自然的事情"。
專家普遍認(rèn)為,微軟也處于同樣的境地,而且很多方面仍然沒(méi)有改進(jìn),而唯一的區(qū)別是這兩個(gè)企業(yè)對(duì)于安全的回應(yīng)態(tài)度不同。
微軟:走過(guò)的路,做過(guò)的事
2002年1月,比爾蓋茨啟動(dòng)了Trustworthy Computing 計(jì)劃,將系統(tǒng)安全作為了公司未來(lái)發(fā)展的首要問(wèn)題。由于之前對(duì)于病毒及軟件安全漏洞的策略不佳,導(dǎo)致微軟不得不在很長(zhǎng)一段時(shí)間里與負(fù)面壓力以及公眾輿論進(jìn)行斗爭(zhēng)。
微軟首先提出了軟件開(kāi)發(fā)生命周期(Software Development Lifecycle)項(xiàng)目,用來(lái)將安全性融入軟件開(kāi)發(fā)過(guò)程,隨后這一項(xiàng)目成為了行業(yè)標(biāo)準(zhǔn)。其努力程度值得稱贊。
現(xiàn)在輪到Adobe開(kāi)始為它的軟件安全性努力奮斗了。
F-Secure的Hypponen在Black Hat的一次采訪中表示:“微軟是補(bǔ)丁管理的模范,他們不得不那樣做。而他們真的做到了。現(xiàn)在Flash和Reader無(wú)所不在,而針對(duì)微軟系統(tǒng)進(jìn)行攻擊越來(lái)越難,于是攻擊者們都將槍口瞄準(zhǔn)了更容易攻擊的靶子。”
另外,他和其他專家還認(rèn)為, Adobe的補(bǔ)丁過(guò)程不如微軟迅速和安全,因此更加容易導(dǎo)致黑客攻擊。
坦率的講,Adobe的行動(dòng)方向是對(duì)的。鑒于Reader的零日漏洞, Adobe在五月決定啟動(dòng)基于季度的補(bǔ)丁發(fā)布方案 ,而具體的發(fā)布時(shí)間則與微軟的周四補(bǔ)丁發(fā)布日相同。
在Adobe發(fā)布聲明的同時(shí), Adobe的 Arkin也表示,公司正在審查“我們安全團(tuán)隊(duì)從漏洞發(fā)布到補(bǔ)丁推出的全部通信記錄以及補(bǔ)丁代碼本身等一切有關(guān)內(nèi)容”。他還許諾,用戶可以“看到更多及時(shí) 的有關(guān)補(bǔ)丁的信息,更快的實(shí)現(xiàn)補(bǔ)丁安裝,以及同步為多個(gè)版本的軟件進(jìn)行補(bǔ)丁修復(fù)工作。”
據(jù)Arkin 表示,Adobe也是第一家能夠針對(duì)微軟的活動(dòng)模板庫(kù)進(jìn)行軟件補(bǔ)丁修復(fù)的第三方廠商。
他說(shuō):“我們搜羅了Adobe的全部產(chǎn)品庫(kù)中超過(guò)200中產(chǎn)品,檢測(cè)哪些產(chǎn)品會(huì)受到漏洞的影響,在最近加入了針對(duì)Shockwave Player 和 Flash Player的修補(bǔ)工作。”
Arkin 還表示,在4月27日獲知針對(duì)Reader和Acrobat系列的零日漏洞后,已經(jīng)在其后的兩周時(shí)間內(nèi)給出了升級(jí)補(bǔ)丁。在前不久還針對(duì)Flash Player中存在的問(wèn)題發(fā)布了升級(jí)補(bǔ)丁。對(duì)于補(bǔ)丁發(fā)布時(shí)間窗,Arkin 表示“我們很滿意目前的性能表現(xiàn)。”
除了針對(duì)當(dāng)前出現(xiàn)的漏洞外,Adobe 還在檢查老版本軟件中存在的漏洞,并尋求多種改進(jìn)產(chǎn)品的方式。Arkin 認(rèn)為“Adobe融合了微軟和其它公司在應(yīng)對(duì)此類問(wèn)題上的最佳方式。”
不過(guò),某個(gè)匿名的安全研究人員也在抱怨,認(rèn)為從架構(gòu)角度看,某些Adobe的產(chǎn)品與操作系統(tǒng)間的連接有些過(guò)度。他表示:“為什么在非信任數(shù)據(jù)環(huán)境下工作的軟件能夠直接訪問(wèn)我們的受信數(shù)據(jù)呢?”這一問(wèn)題實(shí)際是指 Adobe Reader能夠直接讀寫硬盤數(shù)據(jù)的能力。
對(duì)此問(wèn)題,Arkin 認(rèn)為,程序的功能需要程序在文件系統(tǒng)上進(jìn)行保存和打開(kāi)文件的操作,這就必須要對(duì)硬盤進(jìn)行物理讀寫訪問(wèn):“Web瀏覽器都具備在文件系統(tǒng)上進(jìn)行存儲(chǔ)的功能,”而這兩種程序的特權(quán)是類似的。
安全公司Counterpane 的首席技術(shù)官Bruce Schneier 認(rèn)為,拋開(kāi)這些與安全相抵觸的功能不談,由于Adobe的產(chǎn)品已經(jīng)成了黑客的攻擊重點(diǎn),市場(chǎng)壓力就足以使Adobe發(fā)生改變了。“不管公司是否重視安全 性,這種改變都是必須的,因?yàn)檫@完全是商業(yè)決策。我覺(jué)得Adobe應(yīng)該意識(shí)到,他們可以以安全為賣點(diǎn)進(jìn)行產(chǎn)品推廣”
IOActive 滲透測(cè)試部門經(jīng)理Dan Kaminsky贊揚(yáng)Adobe能夠正確面對(duì)安全問(wèn)題,將安全作為未來(lái)的工作重點(diǎn),并進(jìn)行“自我調(diào)整”。他還補(bǔ)充說(shuō):“PDF的漏洞最近才被爆出,要記 住,任何軟件開(kāi)發(fā)團(tuán)隊(duì)都需要一定的時(shí)間來(lái)解決這種問(wèn)題。”另外他還提到,F(xiàn)lash 9要比 Flash 8安全的多。
“有沒(méi)有某些產(chǎn)品是Adobe應(yīng)該封鎖的?是的,他們有沒(méi)有這樣做呢?確實(shí)這樣做了。既然他們能對(duì)Flash這樣做,就也能夠?qū)eader這樣做。畢竟樹(shù)大招風(fēng),槍打出頭鳥(niǎo)。”
進(jìn)入論壇>>聲明:IT商業(yè)新聞網(wǎng)登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點(diǎn)或證實(shí)其描述。文章內(nèi)容僅供參考。新聞咨詢:(010)68023640.推薦閱讀
魯毅智交易丑聞內(nèi)幕 涉嫌對(duì)沖基金獲利不多
根據(jù)法庭文件顯示,芯片制造商AMD的一位高管,曾在AMD去年的重大重組期間,私下透露了大量可能會(huì)引發(fā)市場(chǎng)變動(dòng)的內(nèi)部消息。熟悉此事件的消息人士透露,這位高管便是AMD的前任首席執(zhí)行官魯毅智。法庭文件顯示,魯毅智曾>>>詳細(xì)閱讀
本文標(biāo)題:Adobe將取代微軟 成為黑客首要攻擊目標(biāo)
地址:http://www.oumuer.cn/a/xie/20111230/198858.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示