【大纪元7月14日讯】(大纪元记者于林编译报导)用Adobe软体浏览各类影音内容,已是许多人网络生活中不可或缺的一部分。Adobe公司也因为发展出一系列能读取各种内容的跨平台及跨作业系统工具的软体,而声名显赫。但不幸的是,正是这些特点使Adobe的产品成为树大招风的攻击目标。Adobe在确保旗下产品的安全性方面做得不尽理想。资讯科技管理人员必须更勤于防堵,才能防止电脑系统由于Adobe软体的安全漏洞和恶意PDF档案而受到威胁。
苹果电脑总裁贾伯斯(Steve Jobs)当初因为Adobe产品的安全性堪虑和一些其他考量,决定旗下的智慧型手机iPhone和平板电脑iPad都不支援Adobe Flash软体,甚至与其不相容。Adobe Flash和Adobe Reader适用于各种平台,几乎在每部电脑都看得到。也因此Adobe容易成为骇客攻击的目标,弱点明显。系统安全业者已提出警告,Adobe是系统安全中较脆弱的一环。
今年稍早骇客利用Adobe Reader软体中的缺陷,以目前正进行得如火如荼的2010世足赛为诱饵,传送恶意的PDF档。这项讯息被包装得像是来源于非洲一家合法的观光组织,内容也大都是合法正当的细节和资讯,但其实收件人若打开讯息内附的PDF档,恶意软体就会经由有缺陷的Adobe Reader被安装到脆弱的系统上。
现在有心人士又在利用新的Adobe安全性缺陷。Adobe产品安全事件回应小组(Adobe Product Security Incident Response Team, PSIRT)在其博客中指出,这个缺陷有可能导致当机或让骇客能控制受害者的电脑。已有报告指出,这个缺陷目前正被大肆利用,以攻击Adobe Flash Player, Adobe Reader和Acrobat等软体。
Adobe软体存在的缺陷可能被用来大面积的滥发恶意软体或钓鱼诈骗信件(phishing, password harvesting fishing),但Adobe软体同时也是骇客攻击特定对象时的利器。骇客用Adobe软体制作恶意PDF档,再寄给少数锁定的重量级人士。尤其,他们拿原本合法正当的PDF档来修改,再加入恶意内容,便能避开一般系统安全业者的侦测,这比传统“地毯式轰炸”(carpet-bombing approach)的攻击成功率来得高。
资讯科技主管必须采取积极的做法来防范这类骇客攻击。当然,启用反恶意软体的防毒软体并持续更新,或启动个人防火墙来保护终端系统等传统做法还是有效。但由于资讯安全业者一般都以被动回应、比对特征以侦测入侵的模式来运作,上述措施最多只能对零日病毒或刚出现的威胁奏效。
执行Adobe以外的其他程式来读取PDF档案也有助于防范此类威胁。Nuance和Foxit都提供免费的PDF档阅读软体,可取代Adobe Reader。Nuance特别指出,它的PDF阅读软体将JavaScript这种执行恶意码的媒介预设为关闭状态,能提高安全性。Foxit阅读软体则让使用者选择允许或拒绝开启网络连结与JavaScript的功能。
但很不幸,这些软体用来对付Adobe Flash Player软体的缺陷就不怎么管用了。正如还在进行中的苹果与Adobe大战目前所显示的结果,大部分网站还是依赖Flash来呈现内容,这些内容真的没有办法用其他类似软体浏览或编辑,不像Adobe Reader还有其他类似软体可供选择。
逐渐降低对Flash的依赖程度,最终完全转换到使用HTML5,是解决这个问题的长远之计。HTML5比较开放,同时以标准为基础,呈现出的内容基本上和目前Flash所提供的视讯和互动内容一模一样。读者若有兴趣,可参考苹果专为展现HTML5效能所设的网站,不过,这个网站只能以苹果的“狩猎旅行”(Safari)网络浏览器观看。
Adobe受自己的盛名所累。由骇客如此处心积虑的攻击Adobe,便可看出我们有多依赖Adobe。资讯科技主管必须留意与Adobe软体有关的安全性问题,可设定安全管制来防范攻击,或找出更安全适当的替代软体。
(http://www.dajiyuan.com)
