一名安全研究人員計(jì)劃推出一個(gè)新的Web瀏覽器插件，它能在視頻被重播之前清除Adobe Flash代碼，從而防止攻擊者把Adobe Flash的文件錯(cuò)誤作為攻擊的目標(biāo)。

Recurity Labs是一家德國(guó)的安全公司，該公司的研究人員Felix ”FX” Lindner計(jì)劃于2010年在拉斯維加斯舉行的黑帽大會(huì)上推出這項(xiàng)新工具——Blitzableiter（避雷針）。該工具的早期版本是于去年十月份在德國(guó)柏林舉辦的第二十六屆混沌黑客年會(huì)（chaos communication congress，26C3）上推出的。該工具將會(huì)成為NoScript的一部分，NoScript是Mozilla Firefox瀏覽器中一個(gè)防范跨站腳本（cross-site scripting）和點(diǎn)擊劫持攻擊（clickjacking）的插件。

“這個(gè)插件能夠自動(dòng)防范一大部分針對(duì)flash的攻擊，對(duì)此我抱有很大的期望。”Lindner 在SearchSecurity.com網(wǎng)站對(duì)他的采訪中說到， “這種防范手段很獨(dú)特，因?yàn)樗鼪]有影響到本地計(jì)算機(jī)的數(shù)字簽名。我們所做的一切都是按規(guī)則進(jìn)行處理，并不會(huì)攻擊數(shù)字簽名?！?/P>

由于Flash Player占據(jù)著巨大的市場(chǎng)份額，因此它經(jīng)常成為攻擊者的目標(biāo)，Adobe系統(tǒng)公司不得不努力修補(bǔ)Flash Player不斷爆出的漏洞。在網(wǎng)絡(luò)上，F(xiàn)lash無所不在，它被數(shù)以百萬計(jì)的用戶用于播放視頻內(nèi)容或顯示交互網(wǎng)頁和廣告橫幅。開發(fā)Blitzableiter的想法來源于2008年Recurity實(shí)驗(yàn)室為德國(guó)政府進(jìn)行的一項(xiàng)分析富應(yīng)用程序框架（rich application frameworks）研究。Lindner表示，Recurity發(fā)現(xiàn)flash遠(yuǎn)遠(yuǎn)落后于Silverlight和Java框架。

“我們意識(shí)到，開發(fā)這方面的防護(hù)軟件比開發(fā)其他產(chǎn)品更具挑戰(zhàn)性?！盠indner說，“實(shí)際上，我們?cè)趂lash中看到的許多問題都與它的框架設(shè)計(jì)密切相關(guān)?！?/P>

Blitzableiter可被開發(fā)者嵌入到網(wǎng)站程序中，也可充當(dāng)瀏覽器的插件。它可以檢查網(wǎng)站上或嵌入在PDF文件中的Shockwave Flash（SWF）文件。它像規(guī)范化引擎（normalization engine）那樣工作，檢查整個(gè)Flash文件的代碼異常情況。當(dāng)被用作瀏覽器插件時(shí)，該工具將對(duì)Flash文件進(jìn)行處理，然后在瀏覽器的Flash Player中顯示干凈的文件。例如，該工具可以檢查網(wǎng)頁廣告橫幅內(nèi)的重定向，以確保它們不會(huì)指向惡意網(wǎng)站。

“我們并沒有刪除什么東西，我們只是增加了一些檢查，”Lindber說， “在廣告橫幅中的地址被重定向之前，我們將增加一層驗(yàn)證?！?/P>

富互聯(lián)網(wǎng)應(yīng)用會(huì)形成新的威脅，因?yàn)樗鼈優(yōu)闉g覽器擴(kuò)展了一些以前被瀏覽器設(shè)計(jì)者故意省略的功能。應(yīng)用軟件開發(fā)平臺(tái)能讓開發(fā)人員為應(yīng)用程序添加多媒體功能，并能為程序提供虛擬的運(yùn)行環(huán)境，后者將讓程序代碼在沙箱中運(yùn)行以確保其安全。但Lindner表示，這正是Flash的安全漏洞所在。在沙箱中暴露出來的解析音頻、視頻和圖形文件的功能恰好就是攻擊者用來強(qiáng)行進(jìn)入系統(tǒng)的東西。

“那些您必需編寫的用于解析這些文件的代碼，增加了黑客的攻擊面?！盠indner說。

Lindner表示，目前存在著兩種類型的攻擊。第一類攻擊以Flash runtime和解析器為目標(biāo)。攻擊者一旦找到解析器上的漏洞（通常是整數(shù)或緩沖區(qū)溢出），便會(huì)創(chuàng)建一個(gè)惡意文件，然后下載到受害者的電腦中。另一類攻擊是點(diǎn)擊欺詐，在一個(gè)SWF文件使用API來創(chuàng)建一個(gè)超鏈接，誘使用戶連接到廣告網(wǎng)絡(luò)。不過，該工具并不能防范所有針對(duì)Flash的攻擊，比如堆噴射（Heap Spraying）和Flash API溢出仍然是一個(gè)問題。

“雖然這需要進(jìn)行大量的工作，但我們有信心該工具能有助于解除大多數(shù)以flash為目標(biāo)的攻擊，”Lindner說。 “這是我們能獲得的最新的防護(hù)工具之一?！?/P>

【編輯推薦】

1. Firefox安全設(shè)置實(shí)戰(zhàn)總結(jié)
2. Adobe發(fā)布補(bǔ)丁修復(fù)下載管理器中安全漏洞