原标题《干掉最新版Flash 可获10万美元》,站长搜索编辑酌情修改。自Adobe公司上次Flash播放器更新20.0.0.270版已经过去了一周,漏洞商业利用市场已经对绕过这些安全更新产生了新的兴趣
原标题《干掉最新版Flash 可获10万美元》,站长搜索编辑酌情修改。
自Adobe公司上次Flash播放器更新20.0.0.270版已经过去了一周,漏洞商业利用市场已经对绕过这些安全更新产生了新的兴趣。
漏洞交易平台Zerodium近日在推特上宣布,愿意为攻破最新版Flash“堆隔离”特性的人员支付10万美金。这种内存防御机制可以让利用某些类型的安全漏洞更加困难,也意味着黑客最近几年用于注入恶意软件的手段不再管用。
Adobe在2015年早些时候与谷歌Project Zero漏洞研究团队合力开发了这项新功能,与此同时,Project Zero团队也报告称Flash Player三分之一的漏洞已在2015年内修复。
Adobe公司首席科学家菲勒斯・尤利(Peleus Uhley)在去年12月21日发表的一篇博文中称,谷歌Project Zero开发了堆隔离特性的向量,Adobe公司则将该保护手段推广到了ByteArray类。“在上周发布之后,Adobe重写了内存管理器,以扩大堆隔离特性的应用范畴。”
本月月内,Zerodium对能够绕过堆隔离特性和沙箱机制的手段悬赏10万美金。不能够绕过沙盒,但能够击败堆隔离机制的手段则能够拿到6.5万美元。
Chaouki Bekrar在去年建立了Zerodium,他是现在已经接解散的法国漏洞研究公司Vupen Security的创始人,这家公司因制造并向政府销售漏洞而知名。Zerodium的目标和Vupen类似,但与制造自己的漏洞不同,它从第三方研究人员手中获取漏洞。Zerodium对漏洞的要求很苛刻:高风险级,能够可靠利用,基于现代操作系统、软件及设备,未被报告给受影响厂商。Zerodium公司声称能够为订购其安全研究服务的客户提供所需的漏洞信息,外加防护措施和安全建议。这些客户包括“国防、科技、财经领域需要零日漏洞防护的主要企业,以及需要特定和定制安全能力的政府组织。”
Zerodium等漏洞收集平台提供的高回报对于安全研究人员而言很难拒绝,吸引他们不向受影响厂商上报漏洞,而是拖延软件更新的进度,让用户在更长时间内处在不安全状态中。在赏金方面,很少有软件制造商能够达到漏洞收集平台的水平。
今年九月,Zerodium为能够入侵iOS9的浏览器漏洞出价100万美金。11月,该平台发表声明称已有小组拿到了悬赏。
微信搜索“站长搜索”关注抢6s大礼!下载站长搜索客户端(戳这里)也可参与评论抽楼层大奖!
声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!
