【大紀元7月14日訊】(大紀元記者于林編譯報導)用Adobe軟體瀏覽各類影音內容,已是許多人網絡生活中不可或缺的一部份。Adobe公司也因為發展出一系列能讀取各種內容的跨平台及跨作業系統工具的軟體,而聲名顯赫。但不幸的是,正是這些特點使Adobe的產品成為樹大招風的攻擊目標。Adobe在確保旗下產品的安全性方面做得不盡理想。資訊科技管理人員必須更勤於防堵,才能防止電腦系統由於Adobe軟體的安全漏洞和惡意PDF檔案而受到威脅。
蘋果電腦總裁賈伯斯(Steve Jobs)當初因為Adobe產品的安全性堪慮和一些其他考量,決定旗下的智慧型手機iPhone和平板電腦iPad都不支援Adobe Flash軟體,甚至與其不相容。Adobe Flash和Adobe Reader適用於各種平台,幾乎在每部電腦都看得到。也因此Adobe容易成為駭客攻擊的目標,弱點明顯。系統安全業者已提出警告,Adobe是系統安全中較脆弱的一環。
今年稍早駭客利用Adobe Reader軟體中的缺陷,以目前正進行得如火如荼的2010世足賽為誘餌,傳送惡意的PDF檔。這項訊息被包裝得像是來源於非洲一家合法的觀光組織,內容也大都是合法正當的細節和資訊,但其實收件人若打開訊息內附的PDF檔,惡意軟體就會經由有缺陷的Adobe Reader被安裝到脆弱的系統上。
現在有心人士又在利用新的Adobe安全性缺陷。Adobe產品安全事件回應小組(Adobe Product Security Incident Response Team, PSIRT)在其博客中指出,這個缺陷有可能導致當機或讓駭客能控制受害者的電腦。已有報告指出,這個缺陷目前正被大肆利用,以攻擊Adobe Flash Player, Adobe Reader和Acrobat等軟體。
Adobe軟體存在的缺陷可能被用來大面積的濫發惡意軟體或釣魚詐騙信件(phishing, password harvesting fishing),但Adobe軟體同時也是駭客攻擊特定對象時的利器。駭客用Adobe軟體製作惡意PDF檔,再寄給少數鎖定的重量級人士。尤其,他們拿原本合法正當的PDF檔來修改,再加入惡意內容,便能避開一般系統安全業者的偵測,這比傳統「地毯式轟炸」(carpet-bombing approach)的攻擊成功率來得高。
資訊科技主管必須採取積極的做法來防範這類駭客攻擊。當然,啟用反惡意軟體的防毒軟體並持續更新,或啟動個人防火牆來保護終端系統等傳統做法還是有效。但由於資訊安全業者一般都以被動回應、比對特徵以偵測入侵的模式來運作,上述措施最多只能對零日病毒或剛出現的威脅奏效。
執行Adobe以外的其他程式來讀取PDF檔案也有助於防範此類威脅。Nuance和Foxit都提供免費的PDF檔閱讀軟體,可取代Adobe Reader。Nuance特別指出,它的PDF閱讀軟體將JavaScript這種執行惡意碼的媒介預設為關閉狀態,能提高安全性。Foxit閱讀軟體則讓使用者選擇允許或拒絕開啟網絡連結與JavaScript的功能。
但很不幸,這些軟體用來對付Adobe Flash Player軟體的缺陷就不怎麼管用了。正如還在進行中的蘋果與Adobe大戰目前所顯示的結果,大部分網站還是依賴Flash來呈現內容,這些內容真的沒有辦法用其他類似軟體瀏覽或編輯,不像Adobe Reader還有其他類似軟體可供選擇。
逐漸降低對Flash的依賴程度,最終完全轉換到使用HTML5,是解決這個問題的長遠之計。HTML5比較開放,同時以標準為基礎,呈現出的內容基本上和目前Flash所提供的視訊和互動內容一模一樣。讀者若有興趣,可參考蘋果專為展現HTML5效能所設的網站,不過,這個網站只能以蘋果的「狩獵旅行」(Safari)網絡瀏覽器觀看。
Adobe受自己的盛名所累。由駭客如此處心積慮的攻擊Adobe,便可看出我們有多依賴Adobe。資訊科技主管必須留意與Adobe軟體有關的安全性問題,可設定安全管制來防範攻擊,或找出更安全適當的替代軟體。
(http://www.dajiyuan.com)
