由于忙于新产品发表,安全研究人员已提交一年多的Flash Player安全漏洞,Adobe近期才终于修补。Adobe产品经理Emmy Huang在博客上说明原由并表示道歉之外,现在也正在检查是否有更多未解决的臭虫。
2008年九月间安全研究人员Matthew Dempsky在Flash Player的臭虫回报平台(JIRA FP-677)上提交了一个可能让电脑死机(crash)的漏洞,但该漏洞在历经一年多之后,于2009年11月间所释出的Flash Player 10.1 beta才修补。
据ComputerWorld报道,该漏洞遭攻击时,可能让IE 6或IE 7,以及FireFox及Safari 3等浏览器死机;而在其他浏览器,则可能浏览器继续执行,但Flash Player死掉。Dempsky并设了一个网站,展示概念性攻击。
Emmy强调,Adobe的政策是,任何会让程序死掉的臭虫他们都视为最高优先等级,而Flash Player团队的信条是,ActionScript开发者怎样也不能让Flash Player死机。只要程序有死掉,就是臭虫,Adobe就必须正视。但死机的原因,可能纯脆是Flash Player的,有时候出在浏览器,有时候则是OS上。但不管原因为何,Adobe都会从内部或与合作伙伴一起努力解决。
对于而这次该漏洞之所以会这么久才修补的原因,Emmy表示,2008年9月22开发者提交臭虫报告时,刚好遇到Adobe忙于新版产品发表,因此将此臭虫的修补工作放到了下一版,而未及时在Flash Player 10中做安全更新。Emmy表示,Adobe应该与提交者保持连络并让他知道处理程序,但却未这么做。Adobe除表示歉意外,并将与负责的产品经理确认下次不再犯。
此外,由于这次的错误,Adobe表示,现在也正积极的在JIRA里检查是否有未解决的臭虫,必要时并会主动与提交者连络寻求协助。
