Dino Dai Zovi によるゲスト編集者Adobe Flash のゼロデイ攻撃の誤報からほぼ 1 週間が経ちました。
ゲスト編集者:Dino Dai Zovi
しかし、私たちは皆が安堵のため息をついた間に、本当の教訓が失われないように注意しなければなりません。 脆弱性はゼロデイだった可能性があります。
Google Analytics には、インストールされている Flash のバージョンをリビジョン レベルまで含めて、訪問者のブラウザ機能に関する情報を提供する気の利いた機能があります。 [1]. 私はもう 1 つの、あまり放置されていた Web サイトの分析を調べていたところ、ハイテクな訪問者のうち、現在のバージョンの Flash を使用しているのは 3 分の 1 未満であることに気づきました。 匿名のロボットが、訪問者数が大幅に多かった大規模サイトの統計を提供しました [2]。その統計により、最新の Flash プレーヤーの割合が低いことが確認されました。
| 日付 | % 最新の |
| 5/26 | 15.28 |
| 5/27 | 15.93 |
| 5/28 | 16.50 |
| 5/29 | 17.51 |
- Flash9には、 97.2%の浸透率 成熟した市場では
- 約 2 か月後、問題に対処するアップデートを適用したユーザーは 20% 未満でした。 重要なリモートコード実行 脆弱性
- で CanSecWest の PWN2OWN 2008, シェーン・マコーレー そしてアレクサンダー・ソティロフはそれを適切な方法で証明した 風水 Java アプレット、Flash の脆弱性は、ASLR、ハードウェア強制 DEP などを備えた Vista SP1 上でも依然として非常に悪用可能です。
- TippingPoint のゼロデイ イニシアチブには 7 つの特徴があります 今後の勧告 Adobe 製品のリスクの高い脆弱性を検出します。 どれもPhotoshopにあるとは思えません。
平均的なユーザーは、Flash を更新する必要があることとその方法をどのようにして知るのでしょうか? 業界紙を読むことでしょうか? Microsoft は、ユーザーにオペレーティング システムへのパッチ適用を強制する必要があることを学びました。その場合でも、それはできるだけ自動であるべきです。
可能。 Flash は現在、基本的に世界的な市場シェアを獲得しているため、今こそ重要な市場シェアを獲得するときです。 他の人が苦労して受けた教訓を繰り返すことなく、セキュリティを向上させることができます。 学ぶ。
[1] 実際には、ユーザーのブラウザが Firefox の場合にのみリビジョン番号を取得します。 平均的な Firefox ユーザーは、平均的な Internet Explorer ユーザーよりもインターネット セキュリティに精通していると考えて間違いないと思います。そのため、これらの数値は上限であると考えることができます。
[2] データは数十万のユニーク訪問者に基づいています。
* Dino Dai Zovi は、情報セキュリティの専門家、研究者、作家です。 彼はおそらくセキュリティと Mac コミュニティで最もよく知られています。 脆弱性の発見 そして、CanSecWest 2007 での最初の PWN2OWN コンテストで優勝するためのエクスプロイトを作成しました。 彼が出版しているのは、 ビットの跡 ブログからも見つかります Twitter上で.