新闻资讯

专家称Adobe Flash政策存在风险

所属分类:公司新闻发布时间:2019-04-25 09:24:26
cdhfyygz.cn下午1:49更新PST澄清Gmail问题是固定的,任何攻击在理论上都是可能的,但是很难完成。 一位研究人员发现了一种利用浏览器处理Flash文件的技术的研究人员表示,Adobe Flash中的宽松安全策略会使访问用户生成的内容网站面临风险。 问题源于Adobe Flash的原始政策,前景安全高级安全研究员Mike Bailey周三接受采访时表示。 “Adobe应该改变Flash Player处理安全策略的方式,因此它不允许任意内容在未经许可的情况下访问应用程序。” 默认情况下,Flash Player信任任何东西,但它应该只信任所允许的内容,“他说,在博客文章中提供了更多的技术讨论。 例如,有人可以将看似图片的内容上传到社交网站,但实际上是一个Flash文件,用于在打开文件时在浏览器中执行恶意代码。 Foreground Security的首席信息安全官Mike Murray说,任何看到这张照片的人都可能会受到损害。 贝利说,据他所知,该技术并未在野外用作攻击,但“大量网站易受攻击”。 (Gmail此前有一个问题可以允许这种类型的ssmtgs.cn攻击,但已经修复。闪存有效载荷可能“理论上”仍然可以执行,但这将非常难以做到,Baily在他的帖子中写道。) 他说,Adobe已经知道了一段时间的问题,但表示无法解决这个问题,或者冒着破坏网络上许多现有Flash内容和应用程序的风险。 Bailey说,管理员对每个网站进行配置更改以降低风险。 同时,用户应该完全禁用Flash或使用NoScript,这是一个阻止来自不受信任站点的Flash和Java的浏览器插件,他说。 当被要求发表评论时,Adobe代表提供了以下声明: “一般来说,Flash(SWF)内容本质上是强大的,活跃的内容,应该像其他活动内容技术(如JavaScript)一样谨慎处理,以确保网站的设计不会受到滥用场景的影响。始终建议,由于潜在的滥用情况(例如Mike Bailey概述的那些情况),不允许允许任意上传或附加Flash(SWF)内容到受信任域.Adobe为开发人员和网站发布了几个最佳实践咨询和博客文章有关如何安全托管Flash内容的所有者。例如,我们的Flash Player安全白皮书详细描述了我们的模型。“ m.cosbi.com.cn