FlashPlayer漏洞一年多Adobe道歉

由於忙於新產品發表，安全研究人員已提交一年多的Flash Player安全漏洞，Adobe近期才終於修補。Adobe產品經理Emmy Huang在部落格上說明原由並表示道歉之外，現在也正在檢查是否有更多未解決的臭蟲。

2008年九月間安全研究人員Matthew Dempsky在Flash Player的臭蟲回報平臺（JIRA FP-677）上提交了一個可能讓電腦當機（crash）的漏洞，但該漏洞在歷經一年多之後，於2009年11月間所釋出的Flash Player 10.1 beta才修補。

據ComputerWorld報導，該漏洞遭攻擊時，可能讓IE 6或IE 7，以及FireFox及Safari 3等瀏覽器當機；而在其他瀏覽器，則可能瀏覽器繼續執行，但Flash Player死掉。Dempsky並設了一個網站，展示概念性攻擊。

Emmy強調，Adobe的政策是，任何會讓程式死掉的臭蟲他們都視為最高優先等級，而Flash Player團隊的信條是，ActionScript開發者怎樣也不能讓Flash Player當機。只要程式有死掉，就是臭蟲，Adobe就必須正視。但當機的原因，可能純脆是Flash Player的，有時候出在瀏覽器，有時候則是OS上。但不管原因為何，Adobe都會從內部或與合作伙伴一起努力解決。

對於而這次該漏洞之所以會這麼久才修補的原因，Emmy表示，2008年9月22開發者提交臭蟲報告時，剛好遇到Adobe忙於新版產品發表，因此將此臭蟲的修補工作放到了下一版，而未及時在Flash Player 10中做安全更新。Emmy表示，Adobe應該與提交者保持連絡並讓他知道處理程式，但卻未這麼做。Adobe除表示歉意外，並將與負責的產品經理確認下次不再犯。

此外，由於這次的錯誤，Adobe表示，現在也正積極的在JIRA裡檢查是否有未解決的臭蟲，必要時並會主動與提交者連絡尋求協助。