Question

作为传播恶意软件的渠道，Flash 播放器究竟有多脆弱呢？答案是：非常不堪一击。Flash 播放器一开始只用于展示图片文件，后来又将业务范围拓展到视频与动画游戏，同时用自己的脚本语言编写了 Flash 应用，还拥有在用户电脑上写入、访问和读取文件的权利。每一个环节都面临着安全性挑战，这是一项很严肃的事情。Adobe 一次性做出了太多尝试，这难免会给安全体系留下很大的漏洞。

美国政府资助的米特公司整理了安全漏洞的列表，并介绍了每一个安全漏洞，并为这些漏洞提供了从低到高（1～10）的风险评级。在这个网站上，我们能很清楚地看到 Flash 的安全记录。

2016 年年初，仅 Flash 播放器就出现了 700 多个公共漏洞。其中 高度严重 的漏洞（系数在 9～10 区间内的漏洞会造成严重的伤害，例如在用户电脑上运行攻击者的代码）在 2010 - 2014 年期间保持在 55 个左右。而在最近一次更新的数据中，2015 年的漏洞数跃升至 294 个，2016 年则出现了 224 个漏洞。

尽管研究员（尤其是在谷歌）发现了很多新的漏洞，但他们的修复方案也给黑客提供了帮助。黑客通过回顾修复历史，比较程序的已修复版本和未修复版本，能够找到重要的突破口。

同时，要弥补这么多的漏洞，Adobe 及其用户也面临着十分艰巨的挑战，几乎每天都要升级系统。CVE 数据库会集中收集每两周或者每个月的系统漏洞，这些漏洞可能已经在新的更新中得到了修正。尽管 Adobe 鼓吹 10 亿台设备中有 4 亿台已更新了系统，但仍有大多数人没有更新，大部分人仍旧有意无意地保留着旧版的 Flash 播放器。

大多数老牌企业倾向于依赖 IE 浏览器，它跟电脑还有微软公司绑定在一起，同步更新。恶意软件的编写者对此并不满。2012 年 IE 存在着 22 个严重的漏洞，而 2013 年漏洞数跃升到了 114 个，2014 年则达到了 217 个。你正在运行的是哪个版本并不重要，任何一个版本都有数百个漏洞。

对一般用户来说，除了更新系统、下载补丁所需的时间之外，他们还要重启电脑，这是一项十分繁重的工作。而即便时常更新，你的版本也有可能会落后。许多用户选择依赖杀毒系统，希望它们能探测出一些已知恶意软件的代码模式。当然，只有出现了第一个受害者，杀毒公司才能对恶意软件做出反应。

攻击 Windows PC 系统很快形成了产业链。只要浏览器打开了被感染的页面，里面的一个小程序就能很快识别出电脑运行了哪款潜在的高危软件，然后远程服务器能匹配出最合适的恶意软件。一旦电脑被侵入了，接下来的事情就取决于恶意软件了 - - 它会把你的电脑变成可以远程控制的机器，或者加密你电脑里的文件，而有时这两件事会同时发生。

数百万浏览量的知名新闻网站，也为黑客提供了可乘之机，危险的页面随处可见。《纽约时报》、英国 BBC 广播公司和《卫报》都谈及了恶意广告，《卫报》还于 2015 年 12 月起发表了长达 4 年的连载，谈论失控的网络犯罪。

避免的方法就是不使用 Windows PC。苹果电脑的操作系统完全不同，这为恶意软件代码的编写者带来了麻烦。也因为用户群相对较小，所以不是黑客的主要攻击目标。不然的话，用户只能持续保持更新 Flash 播放器和 IE 浏览器，以防被攻击。

2015 年 10 月，思科网络公司查出了 147 个给勒索软件提供服务的代理服务器，他们每天会瞄准 9 万名用户，全年能获得 3000 万美元的盈利，平均每月有 1310 万名受害者，约 40%的人是被他人感染而遭到攻击的。其中，约 60%的受害者平均需要支付 300 美元赎金，而每 100 个人里面就会有 3 个人支付赎金。