Adobe周五证实,微软的Windows 8很容易受到黑客攻击,而黑客们几周来一直在攻击个人电脑。
微软表示,它将不会修补Flash Player的漏洞,直到它称之为“GA”,即“通用可用性”。那将是10月26日,届时Windows 8将登陆零售市场,搭载新操作系统的个人电脑将上市销售。
一位发言人在回答问题时说:“我们将根据需要通过Windows update更新Windows 8中的Flash。”“当前版本的Flash在Windows 8 RTM构建中没有最新的修复,但我们将在GA时间框架内通过Windows update进行安全更新。”
负责为Windows 8 Flash Player打补丁的是微软,而不是Adobe,因为该公司借鉴了谷歌的做法,将这款流行的媒体软件与新操作系统的浏览器IE10 (IE10)集成在一起。微软在5月底宣布了这一举措当它发布了Windows 8的最后一个公开预览,或“发布预览”。
当时,该公司IE主管迪恩·哈查莫维奇(Dean Hachamovitch)说,“通过在Windows Update中更新Flash,就像在IE中一样,我们为客户提供了更方便的安全保障。”
Chrome是第一个——也是唯一一个——整合Flash Player而不是依赖外部插件的浏览器制造商。谷歌已经提供了更新版本的Flash播放器与Chrome两年以上,并且通常在Adobe向公众发布Flash补丁的同一天使用Flash补丁刷新浏览器。在某些情况下,谷歌实际上击败了Adobe。
微软的Windows 8 RTM(即“发布到制造”)则不是这样。8月1日的里程碑事件让电脑制造商开始准备新的个人电脑,让一些客户下载、安装并开始使用升级版。
上个月,Adobe对Flash Player发布了两次更新,修补了8个漏洞,其中一些被该公司列为“1”级别的最高威胁警告。其中一个被标记为CVE-2012-1535的漏洞在8月14日被打了补丁,但在此之前一段不确定的时间内就被利用了。
事实上,CVE-2012-1535是四个“零日”漏洞之一,即未修补漏洞,在16周的时间里被一名黑客利用精英黑客团伙赛门铁克研究人员周五透露。
Adobe周五证实,微软并未更新Windows 8中IE10的Flash以适应这两套补丁。“Flash Player 11.3.372.94不包含APSB12-18和APSB12-19发布的补丁,”Adobe发言人Wiebke Lips说,他指的是8月14日和8月21日的Flash更新。
Windows 8 RTM的IE10将集成的Flash Player标识为11.3.372.94版本,比Windows 8发布预览版的版本更新,但比Adobe在8月21日发布的最新版本11.4.402.265更老。
Adobe实际上在两周前就告诉了一些用户Windows 8的Flash情况。
在一个Adobe支持论坛8月23日,一名公司代表宣布,Windows 8和IE10在10月底之前不会更新Flash。Adobe员工克里斯·坎贝尔(Chris Campbell)表示:“由于Windows 8尚未全面发布,因此更新渠道并不活跃。”“一旦它上线,你就会得到Flash Player的更新。”
目前还不清楚坎贝尔所说的“更新频道不活跃”是什么意思,因为微软已经打了Windows 8补丁,最近一次是在7月份发布了补丁Windows 8的消费者预览版和通过Windows更新发布预览版。
Windows 8台式机上的Internet Explorer 10依赖于一个内置Flash版本,但该版本还没有升级,以解决一些严重的漏洞,包括黑客数周以来一直在利用的一个漏洞。
微软的技术支持工程师至少从那时起就知道Windows 8上的Flash问题了8月25日.
尽管用户上个月注意到IE10的Flash已经落后于Adobe的版本,但直到本周才发现这一点ZDNet博主Ed Bott首次报告Windows 8用户容易受到攻击。
在Adobe和微软的支持论坛以及Bott的博客上,一些人认为,微软不打Flash补丁是可以原谅的,因为Windows 8还没有广泛发布。其他人不同意,他们指出Windows 8 RTM已经向企业提供了数周的批量许可协议,所以它已经超越了评估阶段。
更复杂的是,微软也提供了一个免费90天Windows 8 Pro RTM试用自8月15日起发给任何愿意下载大文件的人。
微软的情况让人想起之前苹果的决定从OS x转储Flash播放器和Java当苹果维持这些项目,当时两人都绑定了所有mac,它经常几个月落后Adobe和太阳微系统公司的所有者Java、修补。
nCircle security的安全运营总监Andrew Storms在周五的一封电子邮件中说:“任何时候,一家公司捆绑第三方应用程序,他们都会承担一些未透露但预期的责任,以帮助其用户确保即使是第三方应用程序也能及时得到更新。”。“苹果(在这方面)是最糟糕的,它清楚地表明了什么是不应该做的。”
一些人怀疑,Flash补丁的失误是否是一次性的。“希望这只是一次性问题,”有人说“dicobalt”在微软的一个支持线程上。
目前还不清楚下个月Windows 8发布后,微软将如何处理Flash更新:该公司只表示将通过自己的Windows更新服务提供Flash更新。
然而,在7月份,微软宣布它现在有能力如有必要,每月更新IE这打破了多年来只在偶数个月打补丁的传统。这一变化可能预示着微软希望在Windows 8上频繁更新IE10中的Flash。
但即使是一个每月的时间表,也可能会让Windows 8用户在数周内容易受到Flash漏洞的攻击,除非Adobe或微软(或两者都)改变他们的更新习惯。
微软有一个每月的补丁计划,叫做“补丁星期二”,并且很少发布紧急或“带外”的更新。例如,在过去的两年里,它只发布了一个带外补丁。与此同时,Adobe并不遵守任何为Flash Player设置的补丁计划。
如果Windows 8可以从2012年开始,和Adobe和微软没有调整更新船日期,用户将是脆弱的总共77天9月11日在30%左右,假设微软更新在周二第一个可用的补丁后,Adobe Flash发布了补丁。
在2012年7次Flash更新中,延迟时间最长的一次是27天,Adobe在2月15日发布了Flash补丁,也就是微软发布当月更新的第二天。第二长的时间是从Adobe 8月21日更新到下周二微软预期发布的补丁之间的21天。
斯道姆表示,微软必须做得更好。
“他们必须达到黄金标准,那就是Chrome,”斯道姆说。“考虑到微软和Adobe在MAPP方面的关系,人们会认为微软和Adobe会同步发布补丁。”Adobe于2010年加入微软主动保护计划(MAPP),通过该计划,Adobe与其他安全公司分享最新漏洞和补丁的细节。
至少在这种情况下,微软肯定与Adobe没有步调一致。
“使用Windows Update不断更新有bug的Flash版本是个不错的主意,但如果你不能及时发布,那也没什么意义,”微软支持论坛上的“dicobalt”说。
在Windows 8的IE10上安装Flash补丁之前,用户可以运行另一种依赖于最新Windows插件的浏览器——比如Chrome或Mozilla的Firefox。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,在谷歌+或订阅格雷格的RSS提要. 他的电子邮件地址是gkeizer@computerworld.com.
看到Gregg Keizer在Computerworld.com报道.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇报道,“Adobe确认Windows 8用户容易受到活跃的Flash漏洞的攻击”最初是由《计算机世界》 .