科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全如何面对Adobe Flash和Reader中的漏洞

如何面对Adobe Flash和Reader中的漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

2009年7月22日,Adobe报告其Flash和Reader软件中存在一系列漏洞。那么我们在观看网络视频时,还足够安全吗?

作者:ZDNet安全频道 来源:TechRepublic【原创】 2009年10月26日

关键字: 攻击 黑客 漏洞 Adobe

  • 评论
  • 分享微博
  • 分享邮件

ZDNet安全频道原创翻译 转载请注明作者以及出处

2009年7月22日,Adobe报告其Flash和Reader软件中存在一系列漏洞。那么我们在观看网络视频时,还足够安全吗?
-------------------------------------------------------------------------------------------

  Adobe的 安全建议 APSA09-03 :

  当前版本的Flash Player (v9.0.159.0 and v10.0.22.87) 中,存在一个关键性漏洞,会影响Windows, Macintosh以及 Linux 操作系统,该漏洞来自针对Windows,Macintosh和Unix系统的Adobe Reader and Acrobat v9.x系列软件中所包含的authplay.dll 组件。该漏洞(CVE-2009-1862)可导致以上系统崩溃,同时,黑客通过这个漏洞对系统进行攻击,将有可能获取系统控制权限。有报告显示,全球范围内已经出现了利用此漏洞针对Windows系统上的Adobe Reader v9软件进行的攻击的实例。

  有关该漏洞的详细信息,可以参考US-CERT Technical Cyber Security Alert TA09-204A.

  如果根据 Adobe自己的Flash Player数据统计 页面显示的软件使用量来看,受到该漏洞影响的网民占到全球总网民数量的99%。虽然这一数据并不是完全精确,包括我本人在内对此也持怀疑态度,但是不可否认的是,全球范围内有相当大规模的可上网的电脑都处于该风险之中。

  利用 Reader 软件中的漏洞进行攻击的案例已经出现。而普通用户受该漏洞攻击的风险将非常大,只有少数使用古老工作站的用户对于这种攻击具有免疫力。当然,我们也是有办法应对这一漏洞的。最简单的应对方案就是卸载浏览器中的Flash插件和Adobe Reader软件。

  这听上去可能有些让人无法接受,但是我想应该让大家认识到一点:有时候想保证系统安全,就要牺牲掉那些不安全的软件。如果必须要使用Flash或Reader,我在这里提供了一些解决方案:

  · 如果你使用 Flash的主要目的是看YouTube这类的视频网站,那么可以有一些代替Flash的办法,比如:

  o 你可以使用youtube-dl软件下载YouTube视频到本地观看。

  o 另外也可以使用 Firefox扩展比如 DownloadHelper 从网上下载Flash视频。另外,如果网络上的一些低品质Flash视频的影音不同步,可以通过具有调节帧率功能的Mplayer来播放

  o 将Flash 视频下载到本地后,可以通过本地支持Flash视频的软件,如MPlayer来播放视频。只要确保电脑中安装了合适的Flash视频解码器即可。

  · 如果你需要访问那些需要Flash导航才能正常工作的网站(虽然没有必要,但是很多网站都是这样的),那么也有一些软件可以代替官方的 Adobe Flash player:

  o Gnash 是一个开源GNU项目,可以在几乎全部X Window系统上运行Flash player。支持网上主流的Flash网站。

  o Swfdec 是freedesktop.org上对应Gnash的项目。

  如果说只提供一个方案可能会在某些系统上有不够理想的效果,那么以上两种方案应该能让大家比较放心的代替系统中原有的 Adobe Flash player了。不过以上两种代替方案在应对互联网上更广泛的Flash需求时,还是会有些不足。

  如果你的工作或网上生活必须要求浏览器安装Adobe Flash 插件,你起码可以通过选择运行哪些Flash对象的方式来尽量降低风险发生的概率:

  o Flashblock 是Firefox的一个扩展,它可以屏蔽Flash中的每个对象,避免这些对象被加载。用户只需要在Flash播放前选择安全可信的Flash对象运行即可。

  · 对于 PDF的浏览,可供选择的Adobe Reader替代品就太多了,而且这些替代品中的大部分实际运行效果都要好于Adobe Reader,只是有些并不提供浏览器插件罢了:

  o Xpdf 是我目前最常用的PDF阅读器。这款开源的PDF阅读器可以在Unix以及各种Linux 版本, BSD Unix 系统,以及Solaris系统上工作,当然它也支持DOS和MS Windows系统。如果你的系统是开源的Unix或类 Unix系统,请先检查系统的软件管理系统部分。之后再查看Xpdf网站上是否有合适的二进制版本下载,如果没有,可以直接下载源码自行编译。

  o OpenOffice.org 这是一款开源的办公软件套装,支持 PDF输出,可以看作是Adobe Acrobat 和 Microsoft Office 的结合,适合那些使用Acrobat自带功能就足够的用户。通过自带的 Sun PDF Import Extension,用可以导入PDF阅读并对其进行编辑。

  o Ghostscript 是 PostScript 工具,不断的升级使得它现在能够支持PDF格式。

  o Foxit Reader 是 MS Windows 系统下的一款流行的商业软件。它有免费版,也有收费版本。用户可以根据自己的需求选择使用。

  o The GIMP 是Adobe Photoshop的开源版本,它可以加载PDF文件,并将其转换为图片进行编辑。该软件可运行于多种平台上,其中一个叫做GIMPshop的版本是完全模仿Photoshop 界面开发的。

  o Google Docs 可以支持 PDF浏览,并且可以像浏览HTML网页一样在浏览器中浏览PDF文件。

  o Poppler 是一个基于 Xpdf 代码的PDF库。freedesktop.org 上提供了一些使用Poppler进行PDF渲染的程序。

  o Wikipedia 上也提供了一系列PDF软件。 如果以上我所推荐的都不符合您的需求,可以通过这个列表选择您所满意的软件。

  就我个人而言,避免文章开头提到的漏洞的方法就是杜绝在主要的浏览器中使用Adobe软件。如果你使用的是FreeBSD,可以在Google 中搜索"youtube-dl" mplayer freebsd ,可以看到Flash Workarounds for FreeBSD — especially YouTube,这是我在自己的系统上如何防止Flash漏洞的实际方法。

  我最终的目的是希望大家都能够拥有安全的系统。如果你通过使用非Adobe 工具浏览Flash 和 PDF,那么我恭喜你可以安然面对Adobe软件中所存在的漏洞。否则的话,我建议您通过安装诸如Flashblock等Firefox扩展的方式,将Flash的潜在风险降到最低。另外,如果使用Adobe Reader,建议只在本地电脑上打开PDF文件,而不要在浏览器中打开。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章