“漏洞百出”几乎已经成为Flash标志性的特点,而在国内外屡屡曝光的APT黑客攻击事件中,Flash漏洞也是上镜率最高的软件。尽管Adobe痛下决心为Flash提升安全性推出新的堆管理机制等重磅防护措施,但这并没有帮助Flash走出泥沼,反而引发了新的安全问题。
在即将召开的ISC2016中国互联网安全大会上,今年全球发现最多Flash漏洞的360Vulcan核心成员Yuki Chen(古河)将现身“漏洞挖掘与源代码安全分论坛”,深度揭秘Flash漏洞缓和技术面临的窘境。
Flash包揽十大最危险漏洞
6月,卡巴斯基安全研究人员称,利用Flash的0day漏洞,APT黑客组织StarCruft正进行有针对性的网络间谍活动,对包括亚洲国家执法机构、亚洲贸易公司员工在内的多家机构和个人实施网络监控。国外安全机构NTT Group发布的最新报告也显示,2015年最危险的十大漏洞全部出自Flash。
面对“漏洞之王”Flash,各大厂商唯恐避之不及,Chrome就曾默认使用HTML5替代Flash播放内容,苹果也于近日再次封杀老版本的Flash。作为人们上网必备的基础软件,安全危机让Flash的处境日益尴尬。
吃 “大补丸”,Flash变强了吗?
近年来Adobe一直在重点解决Flash的安全问题,而且却有脱胎换骨之感,其举措包括引入大量安全防护机制,并且每个月都会将漏洞防御措施更新。在今年3月Pwn2own黑客大赛的5天前,Flash发布的3月份更新更是被业界称为吃了“大补丸”,全新的堆管理机制让无数Flash漏洞的威胁被瞬间铲平。
图:360Vulcan团队在PWN2OWN大赛上成功攻破Flash
然而在高明的攻击技术面前,Flash的防线仍然难言坚固。在Pwn2Own2016上,360Vulcan Team仍率先轻松攻破Flash获得满分和全额奖金。而在今年Flash修复的上百个安全漏洞中,有33个漏洞是由360Vulcan的Yuki Chen独力发现并报告给Adobe的,他也成为全球范围内最高产的Flash安全研究者。
在ISC2016的漏洞挖据与源代码安全分论坛上,Yuki Chen将讲述Pwn2Own大赛中破解Flash的过程,解读Adobe公司所采用的防护措施,并首次曝光错综复杂的防护措施本身所引发的安全隐患。Flash安全未来路在何方,将在本届论坛中全面揭晓。
来源:XXX(非中文科技资讯)的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。
文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。
如发现本站文章存在问题,提供版权疑问、身份证明、版权证明、联系方式等发邮件至news@citnews.com.cn。
5 月 10 日消息,据中兴通讯官微,中兴二合一 5G 云电脑“逍遥”系列已经在电商平台上架。其支持本地、云端双模式,可在电脑与平板模式之间一键切换。售价方面,型号为 W200DS 的产品首销价格为 1899 元。
近日,中国家电及消费电子博览会(AWE 2024)隆重开幕。全球领先的智能终端企业TCL实业携多款创新技术和新品亮相,以敢为精神勇闯技术无人区,斩获四项AWE 2024艾普兰大奖。
“以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。
由世界人工智能大会组委会、上海市经信委、徐汇区政府、临港新片区管委会共同指导,由上海市人工智能行业协会联合上海人工智能实验室、上海临港经济发展(集团)有限公司、开放原子开源基金会主办的“2024全球开发者先锋大会”,将于2024年3月23日至24日举办。