记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

干掉最新版Flash 可获10万美元

2016-01-08 14:40

自 Adobe公司上次更新 Flash播放器已经过去了两周,漏洞商业利用市场已经对绕过这些安全更新产生了新的兴趣。

0
漏洞交易平台Zerodium近日在推特上宣布,愿意为攻破最新版Flash “堆隔离”特性的人员支付10万美金。这种内存防御机制可以让利用某些类型的安全漏洞更加困难,也意味着黑客最近几年用于注入恶意软件的手段不再管用。

Adobe在2015年早些时候与谷歌 Project Zero 漏洞研究团队合力开发了这项新功能,与此同时,Project Zero 团队也报告称Flash Player 三分之一的漏洞已在2015年内修复。

Adobe公司首席科学家菲勒斯·尤利(Peleus Uhley)在去年12月21日发表的一篇博文中称,谷歌 Project Zero 开发了堆隔离特性的向量,Adobe 公司则将该保护手段推广到了 ByteArray 类。“在上周发布之后,Adobe 重写了内存管理器,以扩大堆隔离特性的应用范畴。”

本月月内,Zerodium对能够绕过堆隔离特性和沙箱机制的手段悬赏10万美金。不能够绕过沙盒,但能够击败堆隔离机制的手段则能够拿到6.5万美元。

Chaouki Bekrar 在去年建立了 Zerodium,他是现在已经接解散的法国漏洞研究公司 Vupen Security 的创始人,这家公司因制造并向政府销售漏洞而知名。Zerodium 的目标和 Vupen 类似,但与制造自己的漏洞不同,它从第三方研究人员手中获取漏洞。Zerodium 对漏洞的要求很苛刻:高风险级,能够可靠利用,基于现代操作系统、软件及设备,未被报告给受影响厂商。Zerodium 公司声称能够为订购其安全研究服务的客户提供所需的漏洞信息,外加防护措施和安全建议。这些客户包括“国防、科技、财经领域需要零日漏洞防护的主要企业,以及需要特定和定制安全能力的政府组织。”

Zerodium 等漏洞收集平台提供的高回报对于安全研究人员而言很难拒绝,吸引他们不向受影响厂商上报漏洞,而是拖延软件更新的进度,让用户在更长时间内处在不安全状态中。在赏金方面,很少有软件制造商能够达到漏洞收集平台的水平。

今年九月,Zerodium为能够入侵 iOS 9 的浏览器漏洞出价100万美金。11月,该平台发表声明称已有小组拿到了悬赏。

相关阅读:

间谍软件公司悬赏100万美元征求 iOS9 漏洞

这张图是一套完整的零日漏洞价格清单

知识来源: www.aqniu.com/news/12978.html

阅读:109852 | 评论:0 | 标签:动态 行业动态 Flash Zerodium 漏洞奖励

想收藏或者和大家分享这篇好文章→复制链接地址

“干掉最新版Flash 可获10万美元”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词