齊魯晚報(bào) “漏洞百出”幾乎已經(jīng)成為Flash標(biāo)志性的特點(diǎn)，而在國(guó)內(nèi)外屢屢曝光的APT黑客攻擊事件中，F(xiàn)lash漏洞也是上鏡率最高的軟件。盡管Adobe痛下決心為Flash提升安全性推出新的堆管理機(jī)制等重磅防護(hù)措施，但這并沒(méi)有幫助Flash走出泥沼，反而引發(fā)了新的安全問(wèn)題。

在即將召開(kāi)的ISC2016中國(guó)互聯(lián)網(wǎng)安全大會(huì)上，今年全球發(fā)現(xiàn)最多Flash漏洞的360Vulcan核心成員Yuki Chen(古河)將現(xiàn)身“漏洞挖掘與源代碼安全分論壇”，深度揭秘Flash漏洞緩和技術(shù)面臨的窘境。

　　Flash包攬十大最危險(xiǎn)漏洞

6月，卡巴斯基安全研究人員稱(chēng)，利用Flash的0day漏洞，APT黑客組織StarCruft正進(jìn)行有針對(duì)性的網(wǎng)絡(luò)間諜活動(dòng)，對(duì)包括亞洲國(guó)家執(zhí)法機(jī)構(gòu)、亞洲貿(mào)易公司員工在內(nèi)的多家機(jī)構(gòu)和個(gè)人實(shí)施網(wǎng)絡(luò)監(jiān)控。國(guó)外安全機(jī)構(gòu)NTT Group發(fā)布的最新報(bào)告也顯示，2015年最危險(xiǎn)的十大漏洞全部出自Flash。

面對(duì)“漏洞之王”Flash，各大廠商唯恐避之不及，Chrome就曾默認(rèn)使用HTML5替代Flash播放內(nèi)容，蘋(píng)果也于近日再次封殺老版本的Flash。作為人們上網(wǎng)必備的基礎(chǔ)軟件，安全危機(jī)讓Flash的處境日益尷尬。

吃 “大補(bǔ)丸”，F(xiàn)lash變強(qiáng)了嗎?

近年來(lái)Adobe一直在重點(diǎn)解決Flash的安全問(wèn)題，而且卻有脫胎換骨之感，其舉措包括引入大量安全防護(hù)機(jī)制，并且每個(gè)月都會(huì)將漏洞防御措施更新。在今年3月Pwn2own黑客大賽的5天前，F(xiàn)lash發(fā)布的3月份更新更是被業(yè)界稱(chēng)為吃了“大補(bǔ)丸”，全新的堆管理機(jī)制讓無(wú)數(shù)Flash漏洞的威脅被瞬間鏟平。

　　圖：360Vulcan團(tuán)隊(duì)在PWN2OWN大賽上成功攻破Flash

然而在高明的攻擊技術(shù)面前，F(xiàn)lash的防線仍然難言堅(jiān)固。在Pwn2Own2016上，360Vulcan Team仍率先輕松攻破Flash獲得滿分和全額獎(jiǎng)金。而在今年Flash修復(fù)的上百個(gè)安全漏洞中，有33個(gè)漏洞是由360Vulcan的Yuki Chen獨(dú)力發(fā)現(xiàn)并報(bào)告給Adobe的，他也成為全球范圍內(nèi)最高產(chǎn)的Flash安全研究者。

在ISC2016的漏洞挖據(jù)與源代碼安全分論壇上，Yuki Chen將講述Pwn2Own大賽中破解Flash的過(guò)程，解讀Adobe公司所采用的防護(hù)措施，并首次曝光錯(cuò)綜復(fù)雜的防護(hù)措施本身所引發(fā)的安全隱患。Flash安全未來(lái)路在何方，將在本屆論壇中全面揭曉。