12月14日,在360公司承办的360SyScan国际安全会议上,来自McAfee公司的安全专家HaifeiLi做了主题为《关于Flash的过去、现在和将来》的演讲,向300多名与会者分享了自己在Flash安全领域的经验和心得,讨论Flash安全的演进,并对当前FlashPlayer的安全审查以及未来Flash的安全弱点做了剖析。他表示,安全行业应多建立漏洞奖励机制。
目前,Flash插件的主要作用是让浏览器播放多媒体文件。由于绝大多数网页以Flash格式为标准嵌入动画或音视频文件,所以浏览器要正常显示网页,离不开Flash插件的支持,Flash插件因此也成为黑客的重点攻击目标。
在HaifeiLi看来,当下漏洞发掘技术已经很成熟,网民日常使用的软件越来越复杂,用于fuzzing的硬件越来越便宜,同时出现不少漏洞发掘的现金奖励计划,安全公司也愿意投入漏洞奖金提升自己的声誉。但同时,行业没有一个奖励计划来激励开发新的漏洞利用技术,导致通用型的漏洞利用技术已逐渐消失。
作为国际知名的网络信息安全会议,360SyScan成为年底最受关注的技术盛会。国内领先网络安全服务商360公司将SyScan引入北京,打造成一场专为国内外的安全专家、从业者、企业安全人士以及网络安全爱好者量身打造的交流平台。 ​
|