自 Adobe公司上次更新 Flash播放器已經(jīng)過去了兩周，漏洞商業(yè)利用市場已經(jīng)對繞過這些安全更新產(chǎn)生了新的興趣。

漏洞交易平臺Zerodium近日在推特上宣布，愿意為攻破最新版Flash “堆隔離”特性的人員支付10萬美金。這種內(nèi)存防御機(jī)制可以讓利用某些類型的安全漏洞更加困難，也意味著黑客最近幾年用于注入惡意軟件的手段不再管用。

Adobe在2015年早些時候與谷歌 Project Zero 漏洞研究團(tuán)隊(duì)合力開發(fā)了這項(xiàng)新功能，與此同時，Project Zero 團(tuán)隊(duì)也報(bào)告稱Flash Player 三分之一的漏洞已在2015年內(nèi)修復(fù)。

Adobe公司首席科學(xué)家菲勒斯·尤利(Peleus Uhley)在去年12月21日發(fā)表的一篇博文中稱，谷歌 Project Zero 開發(fā)了堆隔離特性的向量，Adobe 公司則將該保護(hù)手段推廣到了 ByteArray 類。“在上周發(fā)布之后，Adobe 重寫了內(nèi)存管理器，以擴(kuò)大堆隔離特性的應(yīng)用范疇。”

本月月內(nèi)，Zerodium對能夠繞過堆隔離特性和沙箱機(jī)制的手段懸賞10萬美金。不能夠繞過沙盒，但能夠擊敗堆隔離機(jī)制的手段則能夠拿到6.5萬美元。

Chaouki Bekrar 在去年建立了 Zerodium，他是現(xiàn)在已經(jīng)接解散的法國漏洞研究公司 Vupen Security 的創(chuàng)始人，這家公司因制造并向政府銷售漏洞而知名。Zerodium 的目標(biāo)和 Vupen 類似，但與制造自己的漏洞不同，它從第三方研究人員手中獲取漏洞。Zerodium 對漏洞的要求很苛刻：高風(fēng)險(xiǎn)級，能夠可靠利用，基于現(xiàn)代操作系統(tǒng)、軟件及設(shè)備，未被報(bào)告給受影響廠商。Zerodium 公司聲稱能夠?yàn)橛嗁徠浒踩芯糠?wù)的客戶提供所需的漏洞信息，外加防護(hù)措施和安全建議。這些客戶包括“國防、科技、財(cái)經(jīng)領(lǐng)域需要零日漏洞防護(hù)的主要企業(yè)，以及需要特定和定制安全能力的政府組織。”

Zerodium 等漏洞收集平臺提供的高回報(bào)對于安全研究人員而言很難拒絕，吸引他們不向受影響廠商上報(bào)漏洞，而是拖延軟件更新的進(jìn)度，讓用戶在更長時間內(nèi)處在不安全狀態(tài)中。在賞金方面，很少有軟件制造商能夠達(dá)到漏洞收集平臺的水平。

今年九月，Zerodium為能夠入侵 iOS 9 的瀏覽器漏洞出價(jià)100萬美金。11月，該平臺發(fā)表聲明稱已有小組拿到了懸賞。