如何面对Adobe Flash和Reader中的漏洞

ZDNet安全频道原创翻译 转载请注明作者以及出处

2009年7月22日，Adobe报告其Flash和Reader软件中存在一系列漏洞。那么我们在观看网络视频时，还足够安全吗?
-------------------------------------------------------------------------------------------

　　Adobe的 安全建议 APSA09-03 ：

　　当前版本的Flash Player (v9.0.159.0 and v10.0.22.87) 中，存在一个关键性漏洞，会影响Windows, Macintosh以及 Linux 操作系统，该漏洞来自针对Windows，Macintosh和Unix系统的Adobe Reader and Acrobat v9.x系列软件中所包含的authplay.dll 组件。该漏洞(CVE-2009-1862)可导致以上系统崩溃，同时，黑客通过这个漏洞对系统进行攻击，将有可能获取系统控制权限。有报告显示，全球范围内已经出现了利用此漏洞针对Windows系统上的Adobe Reader v9软件进行的攻击的实例。

　　有关该漏洞的详细信息，可以参考US-CERT Technical Cyber Security Alert TA09-204A.

　　如果根据 Adobe自己的Flash Player数据统计 页面显示的软件使用量来看，受到该漏洞影响的网民占到全球总网民数量的99%。虽然这一数据并不是完全精确，包括我本人在内对此也持怀疑态度，但是不可否认的是，全球范围内有相当大规模的可上网的电脑都处于该风险之中。

　　利用 Reader 软件中的漏洞进行攻击的案例已经出现。而普通用户受该漏洞攻击的风险将非常大，只有少数使用古老工作站的用户对于这种攻击具有免疫力。当然，我们也是有办法应对这一漏洞的。最简单的应对方案就是卸载浏览器中的Flash插件和Adobe Reader软件。

　　这听上去可能有些让人无法接受，但是我想应该让大家认识到一点：有时候想保证系统安全，就要牺牲掉那些不安全的软件。如果必须要使用Flash或Reader，我在这里提供了一些解决方案：

　　· 如果你使用 Flash的主要目的是看YouTube这类的视频网站，那么可以有一些代替Flash的办法，比如：

　　o 你可以使用youtube-dl软件下载YouTube视频到本地观看。

　　o 另外也可以使用 Firefox扩展比如 DownloadHelper 从网上下载Flash视频。另外，如果网络上的一些低品质Flash视频的影音不同步，可以通过具有调节帧率功能的Mplayer来播放

　　o 将Flash 视频下载到本地后，可以通过本地支持Flash视频的软件，如MPlayer来播放视频。只要确保电脑中安装了合适的Flash视频解码器即可。

　　· 如果你需要访问那些需要Flash导航才能正常工作的网站(虽然没有必要，但是很多网站都是这样的)，那么也有一些软件可以代替官方的 Adobe Flash player：

　　o Gnash 是一个开源GNU项目，可以在几乎全部X Window系统上运行Flash player。支持网上主流的Flash网站。

　　o Swfdec 是freedesktop.org上对应Gnash的项目。

　　如果说只提供一个方案可能会在某些系统上有不够理想的效果，那么以上两种方案应该能让大家比较放心的代替系统中原有的 Adobe Flash player了。不过以上两种代替方案在应对互联网上更广泛的Flash需求时，还是会有些不足。

　　如果你的工作或网上生活必须要求浏览器安装Adobe Flash 插件，你起码可以通过选择运行哪些Flash对象的方式来尽量降低风险发生的概率：

　　o Flashblock 是Firefox的一个扩展，它可以屏蔽Flash中的每个对象，避免这些对象被加载。用户只需要在Flash播放前选择安全可信的Flash对象运行即可。

　　· 对于 PDF的浏览，可供选择的Adobe Reader替代品就太多了，而且这些替代品中的大部分实际运行效果都要好于Adobe Reader，只是有些并不提供浏览器插件罢了：

　　o Xpdf 是我目前最常用的PDF阅读器。这款开源的PDF阅读器可以在Unix以及各种Linux 版本， BSD Unix 系统，以及Solaris系统上工作，当然它也支持DOS和MS Windows系统。如果你的系统是开源的Unix或类 Unix系统，请先检查系统的软件管理系统部分。之后再查看Xpdf网站上是否有合适的二进制版本下载，如果没有，可以直接下载源码自行编译。

　　o OpenOffice.org 这是一款开源的办公软件套装，支持 PDF输出，可以看作是Adobe Acrobat 和 Microsoft Office 的结合，适合那些使用Acrobat自带功能就足够的用户。通过自带的 Sun PDF Import Extension，用可以导入PDF阅读并对其进行编辑。

　　o Ghostscript 是 PostScript 工具，不断的升级使得它现在能够支持PDF格式。

　　o Foxit Reader 是 MS Windows 系统下的一款流行的商业软件。它有免费版，也有收费版本。用户可以根据自己的需求选择使用。

　　o The GIMP 是Adobe Photoshop的开源版本，它可以加载PDF文件，并将其转换为图片进行编辑。该软件可运行于多种平台上，其中一个叫做GIMPshop的版本是完全模仿Photoshop 界面开发的。

　　o Google Docs 可以支持 PDF浏览，并且可以像浏览HTML网页一样在浏览器中浏览PDF文件。

　　o Poppler 是一个基于 Xpdf 代码的PDF库。freedesktop.org 上提供了一些使用Poppler进行PDF渲染的程序。

　　o Wikipedia 上也提供了一系列PDF软件。 如果以上我所推荐的都不符合您的需求，可以通过这个列表选择您所满意的软件。

　　就我个人而言，避免文章开头提到的漏洞的方法就是杜绝在主要的浏览器中使用Adobe软件。如果你使用的是FreeBSD，可以在Google 中搜索"youtube-dl" mplayer freebsd ，可以看到Flash Workarounds for FreeBSD — especially YouTube，这是我在自己的系统上如何防止Flash漏洞的实际方法。

　　我最终的目的是希望大家都能够拥有安全的系统。如果你通过使用非Adobe 工具浏览Flash 和 PDF，那么我恭喜你可以安然面对Adobe软件中所存在的漏洞。否则的话，我建议您通过安装诸如Flashblock等Firefox扩展的方式，将Flash的潜在风险降到最低。另外，如果使用Adobe Reader，建议只在本地电脑上打开PDF文件，而不要在浏览器中打开。