Распространенным источником статистики является Secunia. Вот их списки вульнов для Flash 9 и Flash 10 . Я бы не сказал «ужасно» ... Я имею в виду, это плохо, но не так плохо, как Real и QuickTime - плагины для медиаплееров действительно являются катастрофой.
Сравнение уязвимостей по количеству является сомнительной полезностью - и подвержено всевозможным видам массажа с целью рекламы - но чтение описаний должно дать вам хорошее представление о проблемах, с которыми вы можете столкнуться.
Были ли какие-либо эксплойты Silverlight, позволяющие выполнять чужой код?
В Секунии нет перечисленных вульверов Серебряного света, и я не слышал о них. Но поскольку Silverlight использует платформу .NET, некоторые уязвимости этого продукта ( v1 , v2 , v3 ) могут быть доступны приложениям Silverlight. Это, опять же, делает сравнение чисел еще более трудным.
Не очень много опыта того, как Silverlight влияет на безопасность, поскольку он не очень широко используется. Еще неизвестно, как это будет происходить как с точки зрения сырых вирусов, так и с точки зрения распространенности реальных сайтов эксплуатации.
В общем, я бы попытался сократить количество плагинов до минимума (лично у меня установлена только Flash, и что я использую FlashBlock, чтобы уберечь его от ненадежных сайтов), и оставить Silverlight в покое, пока не появится конкретный соответствующее приложение, которое нуждается в этом. С другой стороны, обновление .NET / Silverlight не должно быть проблемой, поскольку оно будет соответствовать обычным каналам обновления MS.