O Adobe Flash não é inerentemente vulnerável, no entanto, a implementação da Adobe teve um quinhão de explorações graves. Minha explicação para isso é simplesmente história. O Flash existe há muito tempo. A Adobe adquiriu o Flash da Macromedia em 2007 , e o Flash já estava em sua 9ª versão. No início dos anos 2000, a segurança não estava na lista de recursos de software de qualquer pessoa, eles estavam tentando enviar recursos que aprimoraram o produto e fizeram uma experiência melhor para seus usuários. Segurança simplesmente não era um problema, então foi resolvido. Avanço rápido de 5 a 10 anos e agora o Flash está em toda a Internet e instalado em todos os navegadores. Isso cria uma superfície de ataque enorme, em uma base de código complexa. Por isso.
Shumway tem algumas coisas para isso. Primeiro, pode ser desenvolvido com segurança como recurso. Verificações regulares de segurança estão acontecendo enquanto o código está sendo gravado. Além disso, é implementado em JavaScript e executado no navegador, para que possa aproveitar a caixa de proteção do navegador. Mesmo se houvesse um bug no código Shumway, ele só seria capaz de acessar o navegador, não o sistema operacional host (a menos que também haja um bug no navegador).