一名安全研究人員計劃推出一個新的Web瀏覽器插件，它能在視頻被重播之前清除Adobe Flash代碼，從而防止攻擊者把Adobe Flash的文件錯誤作為攻擊的目標(biāo)。

Recurity Labs是一家德國的安全公司，該公司的研究人員Felix ”FX” Lindner計劃于2010年在拉斯維加斯舉行的黑帽大會上推出這項新工具——Blitzableiter（避雷針）。該工具的早期版本是于去年十月份在德國柏林舉辦的第二十六屆混沌黑客年會（chaos communication congress，26C3）上推出的。該工具將會成為NoScript的一部分，NoScript是Mozilla Firefox瀏覽器中一個防范跨站腳本（cross-site scripting）和點擊劫持攻擊（clickjacking）的插件。

“這個插件能夠自動防范一大部分針對flash的攻擊，對此我抱有很大的期望?！盠indner 在SearchSecurity.com網(wǎng)站對他的采訪中說到， “這種防范手段很獨特，因為它沒有影響到本地計算機的數(shù)字簽名。我們所做的一切都是按規(guī)則進行處理，并不會攻擊數(shù)字簽名?！?/P>

由于Flash Player占據(jù)著巨大的市場份額，因此它經(jīng)常成為攻擊者的目標(biāo)，Adobe系統(tǒng)公司不得不努力修補Flash Player不斷爆出的漏洞。在網(wǎng)絡(luò)上，F(xiàn)lash無所不在，它被數(shù)以百萬計的用戶用于播放視頻內(nèi)容或顯示交互網(wǎng)頁和廣告橫幅。開發(fā)Blitzableiter的想法來源于2008年Recurity實驗室為德國政府進行的一項分析富應(yīng)用程序框架（rich application frameworks）研究。Lindner表示，Recurity發(fā)現(xiàn)flash遠遠落后于Silverlight和Java框架。

“我們意識到，開發(fā)這方面的防護軟件比開發(fā)其他產(chǎn)品更具挑戰(zhàn)性?！盠indner說，“實際上，我們在flash中看到的許多問題都與它的框架設(shè)計密切相關(guān)?！?/P>

Blitzableiter可被開發(fā)者嵌入到網(wǎng)站程序中，也可充當(dāng)瀏覽器的插件。它可以檢查網(wǎng)站上或嵌入在PDF文件中的Shockwave Flash（SWF）文件。它像規(guī)范化引擎（normalization engine）那樣工作，檢查整個Flash文件的代碼異常情況。當(dāng)被用作瀏覽器插件時，該工具將對Flash文件進行處理，然后在瀏覽器的Flash Player中顯示干凈的文件。例如，該工具可以檢查網(wǎng)頁廣告橫幅內(nèi)的重定向，以確保它們不會指向惡意網(wǎng)站。

“我們并沒有刪除什么東西，我們只是增加了一些檢查，”Lindber說， “在廣告橫幅中的地址被重定向之前，我們將增加一層驗證?！?/P>

富互聯(lián)網(wǎng)應(yīng)用會形成新的威脅，因為它們?yōu)闉g覽器擴展了一些以前被瀏覽器設(shè)計者故意省略的功能。應(yīng)用軟件開發(fā)平臺能讓開發(fā)人員為應(yīng)用程序添加多媒體功能，并能為程序提供虛擬的運行環(huán)境，后者將讓程序代碼在沙箱中運行以確保其安全。但Lindner表示，這正是Flash的安全漏洞所在。在沙箱中暴露出來的解析音頻、視頻和圖形文件的功能恰好就是攻擊者用來強行進入系統(tǒng)的東西。

“那些您必需編寫的用于解析這些文件的代碼，增加了黑客的攻擊面?！盠indner說。

Lindner表示，目前存在著兩種類型的攻擊。第一類攻擊以Flash runtime和解析器為目標(biāo)。攻擊者一旦找到解析器上的漏洞（通常是整數(shù)或緩沖區(qū)溢出），便會創(chuàng)建一個惡意文件，然后下載到受害者的電腦中。另一類攻擊是點擊欺詐，在一個SWF文件使用API來創(chuàng)建一個超鏈接，誘使用戶連接到廣告網(wǎng)絡(luò)。不過，該工具并不能防范所有針對Flash的攻擊，比如堆噴射（Heap Spraying）和Flash API溢出仍然是一個問題。

“雖然這需要進行大量的工作，但我們有信心該工具能有助于解除大多數(shù)以flash為目標(biāo)的攻擊，”Lindner說。 “這是我們能獲得的最新的防護工具之一。”

【編輯推薦】

1. Firefox安全設(shè)置實戰(zhàn)總結(jié)
2. Adobe發(fā)布補丁修復(fù)下載管理器中安全漏洞