监 听 软 件公司Hacking Team被黑令人浮想联翩。这似乎表明Hacking Team对其客户名单上的国家不够诚实,同时也提醒我们Hacking Team在向客户(包括政府机构)提供黑客工具和零日漏洞方面并非是独一无二的。我们从Hacking Team被黑一事中得知,Adobe Flash存在严重漏洞,黑客知道如何利用那些漏洞来执行恶意代码。
入侵Hacking Team的黑客公开了400GB的敏感数据,其中包括Hacking Team软件的源代码,比如为政府客户研发的远程控制软件平台伽利略(Galileo)。该平台通过安装代理软件来监视目标系统,安全研究人员查看了伽利略的源代码,以弄清楚伽利略如何安装代理软件。
到目前为止,他们发现伽利略依靠各种零日漏洞来绕开安全检测并植入代理软件。目前发现了四个零日漏洞,其中三个都存在于Adobe Flash内部。
我们不知道恶意黑客是否早就知道这些漏洞,但Hacking Team的软件源代码现在遭到泄露,因此Adobe Flash的那些零日漏洞已经尽人皆知。“网络犯罪分子一直在进行自己的研究,能够将所有这三个零日漏洞整合进主要的漏洞利用工具,使大众暴露在这些以前未知的黑客攻击之下。”网络安全公司Qualys的首席技术官沃尔夫冈·坎迪克(Wolfgang Kandek)在博客文章中写道,“由于还没有补丁,目前我们的建议是要么卸载Flash以便使攻击彻底无效,要么利用Windows的EMET安全工具来为浏览器提供额外保护,或者使用谷歌(Google)的Chrome浏览器,因为该浏览器至少不会受到第一个Flash零日漏洞的影响。”
HEAT Software公司(曾名为Lumension)产品主管拉斯·恩斯特(Russ Ernst)也就Adobe Flash漏洞提出了自己的建议。“总的来说,这三个漏洞影响Windows、Mac和Linux系统的Flash 9.0至18.0.0.204版本,并使Flash仅在2015年就发布了第11个更新。如果你必须使用Flash,请确保你使用的是最新版本。但更安全的做法是一劳永逸地卸载这个长期存在风险的媒体播放器。”
由于最近的这次Adobe Flash零日漏洞曝光,Mozilla公司的火狐浏览器已默认禁止Flash。Facebook首席安全官亚历克斯·斯塔莫斯(Alex Stamos)在Twitter上分享了他对Adobe Flash的看法:
“Adobe是时候宣布Flash的死亡日期并在同一天要求各浏览器禁用Flash了。”
现在看起来史蒂夫·乔布斯(Steve Jobs)很有先见之明。2010年,乔布斯发表了一篇1,700字的文章,解释了他为什么拒绝将Adobe Flash整合进苹果(Apple)的iOS移动操作系统。作为回应,Adobe发表了一篇公开信,并试图说服苹果支持Flash,但遭到乔布斯反对,最后无果。
在Android诞生初期,支持Adobe Flash被视为Android和iOS的主要区别之一。然而,Adobe最终结束了在Android系统中对Flash的支持,这等于默认乔布斯是对的。
Adobe在安全领域里取得了令人钦佩的重大进步。其补丁计划是现存最好的计划之一,可以与微软(Microsoft)的软件更新相媲美。在过去几年里,Adobe似乎摆脱了困扰他们的安全问题,很多黑客已经将目标转向甲骨文(Oracle)和Java。然而,Hacking Team泄露事件证明这不是事实,Flash仍然像原来那样充满风险。
五年后的今天,史蒂夫·乔布斯已经离我们而去,无法再强调他的看法,但最近曝光的Adobe Flash漏洞证明乔布斯一直都是对的,或许斯塔莫斯也是对的。是时候结束Adobe Flash的时代了,让网络犯罪分子去找其他的漏洞吧。
