灯塔市
切换分站
免费发布信息
信息分类
当前位置:灯塔市便站网 > 灯塔市生活资讯 > 灯塔市便民生活 >  沦为ATP攻击靶子:Flash真的无可救药了吗?

沦为ATP攻击靶子:Flash真的无可救药了吗?

发表时间:2019-10-31 08:48:15  来源:  浏览:次   【】【】【
【雀讯网】 漏洞百出 几乎已经成为Flash标志性的特点,而在国内外屡屡曝光的APT黑客攻击事件中,Flash漏洞也是上镜率最高的软件。尽管Adobe痛下决心为Flash提升安
        【便站网】

 

  “漏洞百出”几乎已经成为Flash标志性的特点,而在国内外屡屡曝光的APT黑客攻击事件中,Flash漏洞也是上镜率最高的软件。尽管Adobe痛下决心为Flash提升安全性推出新的堆管理机制等重磅防护措施,但这并没有帮助Flash走出泥沼,反而引发了新的安全问题。

  在即将召开的ISC2016中国互联网安全大会上,今年全球发现最多Flash漏洞的360Vulcan核心成员Yuki Chen(古河)将现身“漏洞挖掘与源代码安全分论坛”,深度揭秘Flash漏洞缓和技术面临的窘境。

  Flash包揽十大最危险漏洞

  6月,卡巴斯基安全研究人员称,利用Flash的0day漏洞,APT黑客组织StarCruft正进行有针对性的网络间谍活动,对包括亚洲国家执法机构、亚洲贸易公司员工在内的多家机构和个人实施网络监控。国外安全机构NTT Group发布的最新报告也显示,2015年最危险的十大漏洞全部出自Flash。

  面对“漏洞之王”Flash,各大厂商唯恐避之不及,Chrome就曾默认使用HTML5替代Flash播放内容,苹果也于近日再次封杀老版本的Flash。作为人们上网必备的基础软件,安全危机让Flash的处境日益尴尬。

  吃 “大补丸”,Flash变强了吗?

  近年来Adobe一直在重点解决Flash的安全问题,而且却有脱胎换骨之感,其举措包括引入大量安全防护机制,并且每个月都会将漏洞防御措施更新。在今年3月Pwn2own黑客大赛的5天前,Flash发布的3月份更新更是被业界称为吃了“大补丸”,全新的堆管理机制让无数Flash漏洞的威胁被瞬间铲平。

  图:360Vulcan团队在PWN2OWN大赛上成功攻破Flash

  然而在高明的攻击技术面前,Flash的防线仍然难言坚固。在Pwn2Own2016上,360Vulcan Team仍率先轻松攻破Flash获得满分和全额奖金。而在今年Flash修复的上百个安全漏洞中,有33个漏洞是由360Vulcan的Yuki Chen独力发现并报告给Adobe的,他也成为全球范围内最高产的Flash安全研究者。

  在ISC2016的漏洞挖据与源代码安全分论坛上,Yuki Chen将讲述Pwn2Own大赛中破解Flash的过程,解读Adobe公司所采用的防护措施,并首次曝光错综复杂的防护措施本身所引发的安全隐患。Flash安全未来路在何方,将在本届论坛中全面揭晓。

编辑:王一