研究員指出，Adobe Flash的安全政策有漏洞，可能導(dǎo)致駭客操縱瀏覽器處理Flash檔的方式，造成訪客瀏覽使用者上傳內(nèi)容的網(wǎng)站時(shí)涉險(xiǎn)。
Foreground Security資深研究員Mike Bailey周三接受訪問(wèn)時(shí)表示，問(wèn)題出在Adobe Flash的原始安全政策。他說(shuō)：「Adobe應(yīng)修改Flash Player處理安全政策的方式，不該允許任意的內(nèi)容在未經(jīng)許可的情況下，逕自存取應(yīng)用程式。」

Bailey指出，F(xiàn)lash Player的預(yù)設(shè)狀態(tài)是什麼都信任，但應(yīng)該「只信任獲使用者允許的」。

例如，某人可能上傳看似某社群網(wǎng)站的圖片，但其實(shí)卻是一個(gè)有問(wèn)題的Flash檔，一旦開(kāi)啟就會(huì)在瀏覽器內(nèi)執(zhí)行惡意程式碼。Foreground Security資訊長(zhǎng)Mike Murray說(shuō)，任何人只要閱覽該圖片，電腦就可能中毒。

Bailey表示，據(jù)他所知，目前此技術(shù)尚未被廣泛用于攻擊，但「許多網(wǎng)站都潛在安全弱點(diǎn)」。(Baily在部落格撰文指出，Gmail之前也出現(xiàn)安全問(wèn)題，可能遭到這類(lèi)攻擊，但后來(lái)已亡羊補(bǔ)牢。)

他表示，Adobe前陣子便知悉此事，但表示無(wú)法修補(bǔ)，否則可能破壞許多網(wǎng)路上現(xiàn)有的Flash內(nèi)容和應(yīng)用程式。

Bailey建議網(wǎng)管人員修改網(wǎng)站設(shè)定，以降低駭客入侵風(fēng)險(xiǎn)；使用者應(yīng)完全解除Flash，或使用NoScript(一種瀏覽器外掛程式，可攔截不受信任網(wǎng)站冒出的Flash和Java)。

Adobe發(fā)言人發(fā)表聲明回應(yīng)：「Adobe向來(lái)建議，不應(yīng)允許任意上傳或Flash (SWF)內(nèi)容的附加檔，以免可能遭到濫用，例如Mike Bailey舉出的情況。Adobe已發(fā)表數(shù)種最佳措施建議與部落格公告，供網(wǎng)站開(kāi)發(fā)者與所有人參考，以呈現(xiàn)安全的Flash內(nèi)容。例如，本公司的 Flash Player安全白皮書(shū)就詳細(xì)說(shuō)明我們的模式?！?/P>