Flash Player漏洞一年多 Adobe道歉

由于忙于新产品发表，安全研究人员已提交一年多的Flash Player安全漏洞，Adobe近期才终于修补。Adobe产品经理Emmy Huang在博客上说明原由并表示道歉之外，现在也正在检查是否有更多未解决的臭虫。

2008年九月间安全研究人员Matthew Dempsky在Flash Player的臭虫回报平台（JIRA FP-677）上提交了一个可能让电脑死机（crash）的漏洞，但该漏洞在历经一年多之后，于2009年11月间所释出的Flash Player 10.1 beta才修补。

据ComputerWorld报道，该漏洞遭攻击时，可能让IE 6或IE 7，以及FireFox及Safari 3等浏览器死机；而在其他浏览器，则可能浏览器继续执行，但Flash Player死掉。Dempsky并设了一个网站，展示概念性攻击。

Emmy强调，Adobe的政策是，任何会让程序死掉的臭虫他们都视为最高优先等级，而Flash Player团队的信条是，ActionScript开发者怎样也不能让Flash Player死机。只要程序有死掉，就是臭虫，Adobe就必须正视。但死机的原因，可能纯脆是Flash Player的，有时候出在浏览器，有时候则是OS上。但不管原因为何，Adobe都会从内部或与合作伙伴一起努力解决。

对于而这次该漏洞之所以会这么久才修补的原因，Emmy表示，2008年9月22开发者提交臭虫报告时，刚好遇到Adobe忙于新版产品发表，因此将此臭虫的修补工作放到了下一版，而未及时在Flash Player 10中做安全更新。Emmy表示，Adobe应该与提交者保持连络并让他知道处理程序，但却未这么做。Adobe除表示歉意外，并将与负责的产品经理确认下次不再犯。

此外，由于这次的错误，Adobe表示，现在也正积极的在JIRA里检查是否有未解决的臭虫，必要时并会主动与提交者连络寻求协助。