关于flash漏洞与360的策略的问题

十送鸿钧

为什么有关flash的东西，会放在这里说，下文会慢慢道来

看上去似乎360公司非常重视Flash漏洞，所以每当flash出了某个修复过往漏洞的新版本，360甚至会在漏洞修复功能中推送flash更新
但是呢，这里有个问题

360浏览器自带的浏览器医生/360卫士内置的电脑门诊
比如说你的Flash出现了某些问题（经常崩溃/绿屏/分屏），而求助于这些工具时，它们的解决方案往往是，回滚flash版本
尽管它们声称是在“修复Flash”，你的问题也或许得到了修复
但是你在事后通过查看加载项或者直接在网页视频上右键，即可获得flash版本，你会发现，版本被回滚到了较早的版本（通常是11.1）

360安全浏览器5.X/6.0也通过了一些手段内置了flash较低的版本11.1……
比如说你用IE打开一个视频，右键视频在菜单里看到的Flash版本号是最新的11.6（如果你更新了的话），但是你打开360浏览器重复以上操作，却可能看到的是11.1，因为360浏览器在直接调用自己内置的Flash插件
（调用内部flash插件似乎不是默认的，要符合某些条件才会变成这样，个人推断也许是本地机器上Flash崩溃被捕捉到N次之后，就会变成这样？
360超速/极速浏览器，在地址栏输入about:plugins，进入插件页面，点击详细信息，就会看到你的Flash版本，以及此时使用的是系统安装的，还是浏览器自带的
3605.X要亲自在视频上右键，才能看到正在使用的flash版本

倒不是说这样不好，事实上我这里因为机器的问题，的确对11.1以后的版本兼容性不好（懒得升级显卡驱动），360这样做正好方便了我
只是有一个疑惑

就是说，尽管你更新到了11.6（这是目前最新的版本）
但是实际上你却用不到它，在日常浏览网页时，你的浏览器会自动调用它所内置的低版本flash；以及一部分人浏览网页视频出现种种问题后选择了“修复Flash”从而回到了低版本
通过更新flash来修补flash漏洞还有意义吗？

七宝

问题已反馈，感谢

小紫英

本来就是给IE用户准备啊，IE还是用户量最大的是不是，而且人人有安装是不是，总不能不推吧

ahj000

难怪我用了卫士的修复flash之后，控制面板的图标不在了，原来是回滚到了旧版本。
http://bbs.kafan.cn/forum.php?mo ... t=flash%CD%BC%B1%EA

prawnliu

回LZ~
这种策略在安全上是有意义的~~
更新，修补漏洞这些工作，是给IE内核用的~
为了提高Flash在IE内核下浏览的安全性
而360自己封装的Flash，则是运行在沙箱里的~
虽然Flash本身版本低，有漏洞，容易被攻陷，但即便被攻陷了~沙箱仍在。整体安全性依然高于运行着高版本Flash的IE内核浏览器

以上，我觉得已经解释清楚了~

skylinext

能正常使用为至上，如果升级到了高版本，修复了漏洞。不过却不能正常使用，又有什么意义？回滚到旧的稳定版也是权宜之计吧。安全性问题5L已经回答了

乐在天涯

prawnliu 发表于 2013-3-6 15:07
回LZ~
这种策略在安全上是有意义的~~
更新，修补漏洞这些工作，是给IE内核用的~

沙箱不是万能。沙箱照样可以盗号什么的吧。沙箱要具备了拦截功能才可能安全些。鄙人拙见，有什么不对的还望指教。呵呵。

xfkudyrjug1992

楼主你要搞明白 这个策略不是360定的 而是微软和adobe定的 ok?
而且默认不推送flashplayer plugin

prawnliu

乐在天涯 发表于 2013-3-6 19:25
沙箱不是万能。沙箱照样可以盗号什么的吧。沙箱要具备了拦截功能才可能安全些。鄙人拙见，有什么不对的还 ...

没啥能保证100%的安全~但沙箱跑旧版flash的安全性绝对远大于实机上跑最新版的flash（flash那货……漏洞有多少大家也是有目共睹的……从来就是堵不胜堵……）
这就已经够了~
毕竟要权衡安全性和性能
要安全用Qubes OS……一个进程一个虚拟机……但话又说回来——虚拟机就100%安全么？也不是吧？
所以说追求极致的安全就啥都别用了……

而且，虽然flash会有漏洞，但利用漏洞的方法也受制于flash本身，不是说找到个漏洞，你就能为所欲为了~
一段代码同时能利用flash漏洞和沙箱漏洞……这个几率小的可以忽略不计的~

ELOHIM

360不错，潜力无限