Flash Player漏洞一年多 Adobe道歉

由于忙于新産品發表，安全研究人員已送出一年多的Flash Player安全漏洞，Adobe近期才終于修補。Adobe産品經理Emmy Huang在部落格上說明原由并表示道歉之外，現在也正在檢查是否有更多未解決的臭蟲。

2008年九月間安全研究人員Matthew Dempsky在Flash Player的臭蟲回報平台（JIRA FP-677）上送出了一個可能讓電腦當機（crash）的漏洞，但該漏洞在曆經一年多之後，于2009年11月間所釋出的Flash Player 10.1 beta才修補。

據ComputerWorld報道，該漏洞遭攻擊時，可能讓IE 6或IE 7，以及FireFox及Safari 3等浏覽器當機；而在其他浏覽器，則可能浏覽器繼續執行，但Flash Player死掉。Dempsky并設了一個網站，展示概念性攻擊。

Emmy強調，Adobe的政策是，任何會讓程式死掉的臭蟲他們都視為最高優先等級，而Flash Player團隊的信條是，ActionScript開發者怎樣也不能讓Flash Player當機。隻要程式有死掉，就是臭蟲，Adobe就必須正視。但當機的原因，可能純脆是Flash Player的，有時候出在浏覽器，有時候則是OS上。但不管原因為何，Adobe都會從内部或與合作夥伴一起努力解決。

對于而這次該漏洞之是以會這麼久才修補的原因，Emmy表示，2008年9月22開發者送出臭蟲報告時，剛好遇到Adobe忙于新版産品發表，是以将此臭蟲的修補工作放到了下一版，而未及時在Flash Player 10中做安全更新。Emmy表示，Adobe應該與送出者保持連絡并讓他知道處理程式，但卻未這麼做。Adobe除表示歉意外，并将與負責的産品經理确認下次不再犯。

此外，由于這次的錯誤，Adobe表示，現在也正積極的在JIRA裡檢查是否有未解決的臭蟲，必要時并會主動與送出者連絡尋求協助。