Adobe Flash 占安全产品公司 2014 年和 2015 年检测到的零日攻击的三分之一

对于软件开发人员及其用户而言，应用程序漏洞是始终是无法避免的问题。 AdobeFlash 可能是最常被攻击产品： Flash 漏洞（包括 CVE-2015-0311 和 CVE-2015-0313 ）几乎占安全产品公司 2014 年和 2015 年检测到的零日攻击的三分之一。尽管 Flash 已经臭名昭著，但是 Adobe 仍然快速地修复了存在的漏洞。而且，由于最新的 FlashPlayer 补丁中引入了新的降低风险的功能，我们预计，这种攻击媒介的热潮（尤其是通过漏洞利用工具包发起攻击）会在明年降温。
由于不断提升 Flash 安全和利用标准，这些降低风险的功能会让“媒介喷洒”这种利用手段不再受欢迎。不过，任何防御措施或风险降低方案都不是完美的。由于 Flash 的代码质量和复杂性并未改变，因此，仍然会存在很多 Flash 漏洞。我们预计会发现一些风险降低方案概念的工作证据，并于明年披露。
一些开发人员呼吁 HTML5 取代 Flash ，而且， GoogleChrome 即将禁用 Flash 。不过，禁用 Flash 的过渡期会很漫长。互联网充斥着遗留的 Flash 内容，至少桌面机是这样（但移动设备不是这样）。我们不敢奢望很快发生这种变化。