作为微软旗下用于web视频与交互的跨平台内容插件,Silverlight所遭受的黑客攻击已经日益增加。据思科的安全研究人员表示:Java和Flash遇到的情况属于“树大招风”,但是Silverlight平台面临的风险一点也不必前两者要小——因为很多用户根本没有危机意识,也不会对系统进行安全扫描,这给漏洞攻击者留下了不小的空间。 思科公司的研究人员称,随着Silverlight不断获得互联网应用的市场份额,该平台的漏洞也变得更加有利可图。 鉴于微软对Silverlight 5的生命支持周期,到2021年10月才会结束,它的风险程度甚至很可能会超过Java。 比如,攻击者可以通过一个Silverlight文件来触发CVE-2013-3896漏洞,但其攻击过程却可以尝试通过AES加密进行混淆。 该漏洞已于今年1月被堵上,但仍有很大一部分用户没有安装该更新。撇开用户的原因(未开启自动更新),Silverlight默认不会自动更新也是一大隐患。 |
