如果你是一個駭客，打算入侵某個網路系統，最常採用的攻擊方式就是利用該網路中最普遍存在的某個軟體的漏洞，而漏洞率較高，同時又不經常更新的軟體就是你的首選。

　　在2002年，你選擇的這個軟體很可能是微軟的Windows系統。而如今，所選擇的很可能是比Windows漏洞更多，更脆弱的AdobeReader或FlashPlayer。

　　根據安全軟體廠商F-Secure的統計，當前近半數的攻擊所利用的都是AcrobatReader這個線民們最常用的PDF閱讀器。而基於web的PDF檔攻擊在去年前三個半月的統計數量為128例，今年同期則上升到了超過2300例。

        另外，越來越多的零日漏洞在補丁發佈前就被公佈出來。從而使得那些使用含有漏洞的軟體的用戶，就像靶子一樣在互聯網上等待著駭客的攻擊，直到出現安全補丁。

　　用於互聯網視頻流覽和富媒體應用的FlashPlayer軟體的插件中就包含有這樣的零日漏洞。而在今年春天的一起案例中，AdobeReader爆出的零日漏洞迫使安全專家們建議廣大用戶臨時關閉流覽器的t功能，以避免受到攻擊。

　　近日在BlackHat安全大會上，一位匿名的安全研究人員表示：“由於日前針對PDF的零日漏洞數量太多，使得大型銀行開始討厭Adobe了。”

　　F-Secure在2008年跟蹤了1967起攻擊案例，其中最常見的攻擊類型是針對MicrosoftWord的.doc文檔的攻擊。

　　這一系列令人驚訝的數字使得F-Secure的首席研究員MikkoHypponen在四月份的RSA大會上強烈建議AdobeReader用戶轉換其他品牌的PDF檔閱讀器。

　　Hypponen還表示，Adobe“在各方面都需要向微軟學習”。不論是在BlackHat大會上還是在Defcon安全會議上，大部分參與者都持同樣觀點。

　　卡巴斯基高級反病毒研究員RoelSchouwenberg表示：“Adobe就是下一個微軟，他們都是很遲鈍的意識到自己的產品有多麼大的普及率，作為行業代表，我們必須敦促Adobe努力改善軟體安全問題。”

　　而Adobe的一位經理表示，問題的根源是Adobe的軟體普及率太大。

　　Adobe產品安全和隱私經理BradArkin在一次採訪中表示：“考慮到諸如Reader和FlashPlayer這樣的產品在全球電腦的普及率已經到了相當高的程度，成為駭客攻擊目標也是很自然的事情”。

　　專家普遍認為，微軟也處於同樣的境地，而且很多方面仍然沒有改進，而唯一的區別是這兩個企業對於安全的回應態度不同。

　　微軟：走過的路，做過的事

　　2002年1月，比爾蓋茨啟動了TrustworthyComputing計畫，將系統安全作為了公司未來發展的首要問題。由於之前對於病毒及軟體安全漏洞的策略不佳，導致微軟不得不在很長一段時間裏與負面壓力以及公眾輿論進行鬥爭。

　　微軟首先提出了軟體發展生命週期(SoftwareDevelopmentLifecycle)專案，用來將安全性融入軟體發展過程，隨後這一項目成為了行業標準。其努力程度值得稱讚。

　　現在輪到Adobe開始為它的軟體安全性努力奮鬥了。

　　F-Secure的Hypponen在BlackHat的一次採訪中表示：“微軟是補丁管理的模範，他們不得不那樣做。而他們真的做到了。現在Flash和Reader無所不在，而針對微軟系統進行攻擊越來越難，於是攻擊者們都將槍口瞄準了更容易攻擊的靶子。”

　　另外，他和其他專家還認為，Adobe的補丁過程不如微軟迅速和安全，因此更加容易導致駭客攻擊。

　　坦率的講，Adobe的行動方向是對的。鑒於Reader的零日漏洞，Adobe在五月決定啟動基於季度的補丁發佈方案，而具體的發佈時間則與微軟的週四補丁發佈日相同。

　　在Adobe發佈聲明的同時，Adobe的Arkin也表示，公司正在審查“我們安全團隊從漏洞發佈到補丁推出的全部通信記錄以及補丁代碼本身等一切有關內容”。他還許諾，用戶可以“看到更多及時的有關補丁的資訊，更快的實現補丁安裝，以及同步為多個版本的軟體進行補丁修復工作。”

　　據Arkin表示，Adobe也是第一家能夠針對微軟的活動範本庫進行軟體補丁修復的第三方廠商。

　　他說：“我們搜羅了Adobe的全部產品庫中超過200中產品，檢測哪些產品會受到漏洞的影響，在最近加入了針對ShockwavePlayer和FlashPlayer的修補工作。”

　　Arkin還表示，在4月27日獲知針對Reader和Acrobat系列的零日漏洞後，已經在其後的兩周時間內給出了升級補丁。在前不久還針對FlashPlayer中存在的問題發佈了升級補丁。對於補丁發佈時間窗，Arkin表示“我們很滿意目前的性能表現。”

　　除了針對當前出現的漏洞外，Adobe還在檢查老版本軟體中存在的漏洞，並尋求多種改進產品的方式。Arkin認為“Adobe融合了微軟和其他公司在應對此類問題上的最佳方式。”

　　不過，某個匿名的安全研究人員也在抱怨，認為從架構角度看，某些Adobe的產品與作業系統間的連接有些過度。他表示：“為什麼在非信任資料環境下工作的軟體能夠直接訪問我們的受信資料呢？”這一問題實際是指AdobeReader能夠直接讀寫硬碟資料的能力。

　　對此問題，Arkin認為，程式的功能需要程式在檔系統上進行保存和打開檔的操作，這就必須要對硬碟進行物理讀寫訪問：“Web流覽器都具備在檔系統上進行存儲的功能，”而這兩種程式的特權是類似的。

　　安全公司Counterpane的首席技術官BruceSchneier認為，拋開這些與安全相抵觸的功能不談，由於Adobe的產品已經成了駭客的攻擊重點，市場壓力就足以使Adobe發生改變了。“不管公司是否重視安全性，這種改變都是必須的，因為這完全是商業決策。我覺得Adobe應該意識到，他們可以以安全為賣點進行產品推廣”

　　IOActive滲透測試部門經理DanKaminsky讚揚Adobe能夠正確面對安全問題，將安全作為未來的工作重點，並進行“自我調整”。他還補充說：“PDF的漏洞最近才被爆出，要記住，任何軟體發展團隊都需要一定的時間來解決這種問題。”另外他還提到，Flash9要比Flash8安全的多。

　　“有沒有某些產品是Adobe應該封鎖的？是的，他們有沒有這樣做呢？確實這樣做了。既然他們能對Flash這樣做，就也能夠對Reader這樣做。畢竟樹大招風，槍打出頭鳥。”