在微軟發(fā)布的《 2016年網(wǎng)絡安全趨勢 》中提到,在幾年前 Java 的漏洞是許多攻擊者感染操作系統(tǒng)的主要媒介,而目前 Adobe Flash Player 則成為了新的攻擊媒介。
Java 在 2014 年時幾乎占到了被攻擊媒介的一半,到 2015 年通過 Java 發(fā)起的攻擊則可以忽略不計。
通過 Java 發(fā)起攻擊迅速下降的原因在于 Java 本身的變化和 Internet Explorer 瀏覽器的防御更新。
在 2014 年 1 月份時 Java 運行環(huán)境進行了更新,Internet Explorer 瀏覽器在默認情況下會對 Java 程序進行數(shù)字簽名檢查。
在 2014 年晚些時候微軟開始阻止過期的 ActiveX 控件在 Internet Explorer 8~11 版瀏覽器上運行。
而作為 Windows 10 默認瀏覽器的 Microsoft Edge 瀏覽器則直接不支持 Java 和 ActiveX 控件運行。
除了微軟家的兩款瀏覽器外 Google Chrome 和 Mozilla Firefox 也同樣是不支持 Java 和 ActiveX。
隨著對 Java 防御的增強,Adobe Flash Player 成為了被檢測到含有威脅的惡意網(wǎng)頁最常見的攻擊。
通過在網(wǎng)頁上嵌入針對 Adobe Flash Player 的攻擊代碼在 2015 年時成為了最主要的攻擊來源。
2015 年第一季度時含有針對 Flash Player 播放器的惡意網(wǎng)頁在總體惡意網(wǎng)頁中占有 93.3%,而到了第四季度則飆升到了 99.2%。
很多網(wǎng)站和程序依賴 Adobe Flash Player,而本身該軟件就存在大量的漏洞,所以才會成為攻擊者首選的攻擊媒介。
幸運的是越來越多的瀏覽器開始加強對 Flash 內(nèi)容的監(jiān)測防止惡意程序通過 Flash 播放器進行入侵。
例如 Microsoft Edge 和 IE 瀏覽器會掃描含有此類內(nèi)容的網(wǎng)頁檢查是否含有惡意內(nèi)容,而 Google Chrome瀏覽器則默認直接禁用了 Flash Player 插件。