就下载 —— 安全下载、无毒手机软件、绿色软件官方下载网站最近更新|下载排行|热门标签|收藏本站

您现在的位置是:就下载 > IT资讯 > IT新观察 > 漏洞“黑市”:攻破新版Flash赏金10万美元

原标题《干掉最新版Flash 可获10万美元》,IT之家编辑酌情修改。

自Adobe公司上次Flash播放器更新20.0.0.270版已经过去了一周,漏洞商业利用市场已经对绕过这些安全更新产生了新的兴趣。

漏洞“黑市”:攻破新版Flash赏金10万美元

漏洞交易平台Zerodium近日在推特上宣布,愿意为攻破最新版Flash“堆隔离”特性的人员支付10万美金。这种内存防御机制可以让利用某些类型的安全漏洞更加困难,也意味着黑客最近几年用于注入恶意软件的手段不再管用。

Adobe在2015年早些时候与谷歌Project Zero漏洞研究团队合力开发了这项新功能,与此同时,Project Zero团队也报告称Flash Player三分之一的漏洞已在2015年内修复。

Adobe公司首席科学家菲勒斯尤利(Peleus Uhley)在去年12月21日发表的一篇博文中称,谷歌Project Zero开发了堆隔离特性的向量,Adobe公司则将该保护手段推广到了ByteArray类。“在上周发布之后,Adobe重写了内存管理器,以扩大堆隔离特性的应用范畴。”

本月月内,Zerodium对能够绕过堆隔离特性和沙箱机制的手段悬赏10万美金。不能够绕过沙盒,但能够击败堆隔离机制的手段则能够拿到6.5万美元。

Chaouki Bekrar在去年建立了Zerodium,他是现在已经接解散的法国漏洞研究公司Vupen Security的创始人,这家公司因制造并向政府销售漏洞而知名。Zerodium的目标和Vupen类似,但与制造自己的漏洞不同,它从第三方研究人员手中获取漏洞。Zerodium对漏洞的要求很苛刻:高风险级,能够可靠利用,基于现代操作系统、软件及设备,未被报告给受影响厂商。Zerodium公司声称能够为订购其安全研究服务的客户提供所需的漏洞信息,外加防护措施和安全建议。这些客户包括“国防、科技、财经领域需要零日漏洞防护的主要企业,以及需要特定和定制安全能力的政府组织。”

Zerodium等漏洞收集平台提供的高回报对于安全研究人员而言很难拒绝,吸引他们不向受影响厂商上报漏洞,而是拖延软件更新的进度,让用户在更长时间内处在不安全状态中。在赏金方面,很少有软件制造商能够达到漏洞收集平台的水平。

今年九月,Zerodium为能够入侵iOS9的浏览器漏洞出价100万美金。11月,该平台发表声明称已有小组拿到了悬赏。

微信搜索“IT之家”关注抢6s大礼!下载IT之家客户端(戳这里)也可参与评论抽楼层大奖!

上一篇:ISIS支持者创刊杂志,专教恐怖分子使用加密软件

本文地址:IT新观察 >> http://www.9xz.net/it/xinguancha/75337.html

下一篇:一个学法律出身的码农看快播案

  • 打印
推荐阅读
热门专题
推荐内容
热点内容