2009年7月22日,Adobe报告其Flash和Reader软件中存在一系列漏洞。那么我们在观看网络视频时,还足够安全吗?
-------------------------------------------------------------------------------------------
Adobe的 安全建议 APSA09-03 :
当前版本的Flash Player (v9.0.159.0 and v10.0.22.87) 中,存在一个关键性漏洞,会影响Windows, Macintosh以及 Linux 操作系统,该漏洞来自针对Windows,Macintosh和Unix系统的Adobe Reader and Acrobat v9.x系列软件中所包含的authplay.dll 组件。该漏洞(CVE-2009-1862)可导致以上系统崩溃,同时,黑客通过这个漏洞对系统进行攻击,将有可能获取系统控制权限。有报告显示,全球范围内已经出现了利用此漏洞针对Windows系统上的Adobe Reader v9软件进行的攻击的实例。
有关该漏洞的详细信息,可以参考US-CERT Technical Cyber Security Alert TA09-204A.
如果根据 Adobe自己的Flash Player数据统计 页面显示的软件使用量来看,受到该漏洞影响的网民占到全球总网民数量的99%。虽然这一数据并不是完全精确,包括我本人在内对此也持怀疑态度,但是不可否认的是,全球范围内有相当大规模的可上网的电脑都处于该风险之中。
利用 Reader 软件中的漏洞进行攻击的案例已经出现。而普通用户受该漏洞攻击的风险将非常大,只有少数使用古老工作站的用户对于这种攻击具有免疫力。当然,我们也是有办法应对这一漏洞的。最简单的应对方案就是卸载浏览器中的Flash插件和Adobe Reader软件。
这听上去可能有些让人无法接受,但是我想应该让大家认识到一点:有时候想保证系统安全,就要牺牲掉那些不安全的软件。如果必须要使用Flash或Reader,我在这里提供了一些解决方案:
· 如果你使用 Flash的主要目的是看YouTube这类的视频网站,那么可以有一些代替Flash的办法,比如:
o 你可以使用youtube-dl软件下载YouTube视频到本地观看。
o 另外也可以使用 Firefox扩展比如 DownloadHelper 从网上下载Flash视频。另外,如果网络上的一些低品质Flash视频的影音不同步,可以通过具有调节帧率功能的Mplayer来播放
o 将Flash 视频下载到本地后,可以通过本地支持Flash视频的软件,如MPlayer来播放视频。只要确保电脑中安装了合适的Flash视频解码器即可。
· 如果你需要访问那些需要Flash导航才能正常工作的网站(虽然没有必要,但是很多网站都是这样的),那么也有一些软件可以代替官方的 Adobe Flash player:
o Gnash 是一个开源GNU项目,可以在几乎全部X Window系统上运行Flash player。支持网上主流的Flash网站。
o Swfdec 是freedesktop.org上对应Gnash的项目。
如果说只提供一个方案可能会在某些系统上有不够理想的效果,那么以上两种方案应该能让大家比较放心的代替系统中原有的 Adobe Flash player了。不过以上两种代替方案在应对互联网上更广泛的Flash需求时,还是会有些不足。
如果你的工作或网上生活必须要求浏览器安装Adobe Flash 插件,你起码可以通过选择运行哪些Flash对象的方式来尽量降低风险发生的概率:
o Flashblock 是Firefox的一个扩展,它可以屏蔽Flash中的每个对象,避免这些对象被加载。用户只需要在Flash播放前选择安全可信的Flash对象运行即可。
· 对于 PDF的浏览,可供选择的Adobe Reader替代品就太多了,而且这些替代品中的大部分实际运行效果都要好于Adobe Reader,只是有些并不提供浏览器插件罢了:
o Xpdf 是我目前最常用的PDF阅读器。这款开源的PDF阅读器可以在Unix以及各种Linux 版本, BSD Unix 系统,以及Solaris系统上工作,当然它也支持DOS和MS Windows系统。如果你的系统是开源的Unix或类 Unix系统,请先检查系统的软件管理系统部分。之后再查看Xpdf网站上是否有合适的二进制版本下载,如果没有,可以直接下载源码自行编译。
o OpenOffice.org 这是一款开源的办公软件套装,支持 PDF输出,可以看作是Adobe Acrobat 和 Microsoft Office 的结合,适合那些使用Acrobat自带功能就足够的用户。通过自带的 Sun PDF Import Extension,用可以导入PDF阅读并对其进行编辑。
o Ghostscript 是 PostScript 工具,不断的升级使得它现在能够支持PDF格式。
o Foxit Reader 是 MS Windows 系统下的一款流行的商业软件。它有免费版,也有收费版本。用户可以根据自己的需求选择使用。
o The GIMP 是Adobe Photoshop的开源版本,它可以加载PDF文件,并将其转换为图片进行编辑。该软件可运行于多种平台上,其中一个叫做GIMPshop的版本是完全模仿Photoshop 界面开发的。
o Google Docs 可以支持 PDF浏览,并且可以像浏览HTML网页一样在浏览器中浏览PDF文件。
o Poppler 是一个基于 Xpdf 代码的PDF库。freedesktop.org 上提供了一些使用Poppler进行PDF渲染的程序。
o Wikipedia 上也提供了一系列PDF软件。 如果以上我所推荐的都不符合您的需求,可以通过这个列表选择您所满意的软件。
就我个人而言,避免文章开头提到的漏洞的方法就是杜绝在主要的浏览器中使用Adobe软件。如果你使用的是FreeBSD,可以在Google 中搜索"youtube-dl" mplayer freebsd ,可以看到Flash Workarounds for FreeBSD — especially YouTube,这是我在自己的系统上如何防止Flash漏洞的实际方法。
我最终的目的是希望大家都能够拥有安全的系统。如果你通过使用非Adobe 工具浏览Flash 和 PDF,那么我恭喜你可以安然面对Adobe软件中所存在的漏洞。否则的话,我建议您通过安装诸如Flashblock等Firefox扩展的方式,将Flash的潜在风险降到最低。另外,如果使用Adobe Reader,建议只在本地电脑上打开PDF文件,而不要在浏览器中打开。