问:Brian Krebs最近在日志中指出:世界500强银行交易公司Fiserv建议它的客户不要使用最新的Adobe Acrobat Reader安全补丁。考虑到这款应用程序最近出现的一些安全漏洞,你认为这是个明智的建议吗?避免Adobe安全问题的最佳办法是什么?
答:Adobe Reader(以前叫Acrobat Reader)应用范围非常广泛,所以黑客把这个软件作为攻击目标并不奇怪。因此,Fiserv公司(著名的银行交易过程服务以及软件提供商)敦促它的用户不要应用最新的Adobe Reader补丁,这种做法令我感到失望。这个建议今年2月发布在Fiserv公司网站上的“协作照顾”部分,这部分内容专门关注其合作伙伴(金融机构)的安全和IT管理。Fiserv公司指示它的用户不要使用最新的Adobe Reader补丁,因为该公司发现这些更新与它的几款基于Adobe的产品有潜在的兼容问题。他们甚至还建议已经更新到8.1版以后的客户应该尝试卸载新版本,并将Adobe Reader恢复到一个较低的版本。
这是个典型的注重功能而不注重安全的例子。如果一个银行建筑被一辆卡车严重撞坏,你会暂时把它关闭,直到修好以后再开放。没有人会建议客户继续使用这家银行,除非该建筑已经通过核查、确保安全。那么,为什么告诉用户继续使用一个不安全的、正在修复的应用程序?出于某种原因,我们对待IT系统和软件的态度不同,即便是已经知道它们不安全还是会高兴地允许用户继续使用它们。我这样想象:Fiserv公司的软件使用了一些与Adobe相关的组件(如,用来显示PDF文档的组件)这个应用程序还没有更新,以至于跟新版本的Adobe Reader不太兼容。
我对这个建议的最大顾虑是:Fiserv公司不知道它的用户是如何使用Adobe Reader进行其他工作的,或者说它也无法控制用户的行为。这不仅仅是针对内部员工(他们的网上活动以及Adobe的使用是可以严格控制的)的建议。最近Adobe产品中出现了接二连三的零日攻击漏洞,在这种情况下,他们的建议很可能就会把用户轻易地暴露在那些经常被利用的漏洞面前。我们做了许多工作让人们懂得保持软件更新的重要性,但是这个建议却让这些努力付之东流。任何应用程序提供商或者公司由于升级可能破坏其定制软件的功能而敦促用户继续使用过时的、不安全的软件都会给这个行业带来损害。
避免Adobe安全问题的最好办法是使用最新的补丁,保持你的系统和软件更新,而且不要打开任何来历不明的附件。还要确保你的杀毒软件能够提供某种形式的URL过滤,以便在你不经意地前往一个已知的恶意网站时提醒你,因为这是一种安装恶意软件的常见方法。
更多信息:ScanSafe公司在上个月发表的一篇报告中指出,在2009年最后的三个月中,来自恶意黑客网站的网络攻击中80%的攻击都以Adobe Reader的漏洞为目标。安全公司F-Secure也指出,Adobe Reader漏洞是目前有目的的电子邮件攻击最喜欢利用的漏洞。
【编辑推荐】
