Flash/Silverlight間のセキュリティ悪用の比較

Question

私は、企業のSEO内でSilverlightを展開するためのビジネスケースをまとめようとしています。

私が見ている側面はセキュリティです。 Flashには悪用の歴史がありますが、Silverlightはどうですか？外部コードの実行を許可するSilverlightエクスプロイトがあったのでしょうか？

誰でも知っている情報を知ることができます。

Answer 1

一般的な統計情報源はSecuniaです。 Flash 9とFlash 10のための彼らの難聴のリストはここにあります。私は「ひどい」とは言いません...つまり、悪いですが、RealやQuickTimeほど悪くはありません。メディアプレーヤーのプラグインは本当に災難です。

脆弱性を数値で比較することは疑わしいユーティリティであり、すべての種類の宣伝目的のマッサージになりがちですが、その説明を読むことで、より多くのことが期待できる問題の種類がわかります。

外部コードの実行を許可するSilverlightエクスプロイトさえありましたか？

Secuniaに記載されているSilverlightコードはありません。いずれの文字も聞いたことがありません。 Silverlightは.NETフレームワークを利用しているため、Silverlightアプリケーションでは、その製品の脆弱性（v1、v2、v3）にアクセスする可能性があります。これは、数字の比較をさらに困難にします。

非常に幅広く展開されているわけではないが、Silverlightがセキュリティにどのように影響するかについての多くの経験はまだありません。それは、未処理の害虫と現実世界の搾取現場の両方の面でどのように運賃が支払われるかを見なければならない。

一般的に私はプラグインの数を最小限に抑えようと考えています（個人的にはFlashがインストールされているだけで、FlashBlockを使用すると信頼できないサイトから保護されます）。それを必要とする関連アプリケーション。プラスの面では、.NET/Silverlightを更新しておくことは、MSの通常のアップデートチャネルに適合するため、問題ではありません。

Answer 2

ここでこれを見つけましたが、これまで分かっているように、 Silverlightの最新バージョンにはExplormがありません。 しかし、そこにはSilvelight 5の一部でさえ、 があります。そこにはさらに多くのものがあります。発見されていない、またはハッカーだけが発見したものです。

一方、 HTML-5レンダリングの実装が増えているので、さらに多くのバグが存在する可能性があります。

http://www.cvedetails.com/vulnerability-list.php?vendor_id=26&product_id=19887&version_id=&page=1&hasexp=0&opdos=0&opec=0&opov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opfileinc=0&opginf=0&cvssscoremin=0&cvssscoremax=0&year=0&month=0&cweid=0&order=1&trc=9&sha=198ae3fe943090cb0db601047e711d8f58309943