齊魯晚報 “漏洞百出”幾乎已經成為Flash標志性的特點，而在國內外屢屢曝光的APT黑客攻擊事件中，Flash漏洞也是上鏡率最高的軟件。盡管Adobe痛下決心為Flash提升安全性推出新的堆管理機制等重磅防護措施，但這并沒有幫助Flash走出泥沼，反而引發了新的安全問題。

在即將召開的ISC2016中國互聯網安全大會上，今年全球發現最多Flash漏洞的360Vulcan核心成員Yuki Chen(古河)將現身“漏洞挖掘與源代碼安全分論壇”，深度揭秘Flash漏洞緩和技術面臨的窘境。

　　Flash包攬十大最危險漏洞

6月，卡巴斯基安全研究人員稱，利用Flash的0day漏洞，APT黑客組織StarCruft正進行有針對性的網絡間諜活動，對包括亞洲國家執法機構、亞洲貿易公司員工在內的多家機構和個人實施網絡監控。國外安全機構NTT Group發布的最新報告也顯示，2015年最危險的十大漏洞全部出自Flash。

面對“漏洞之王”Flash，各大廠商唯恐避之不及，Chrome就曾默認使用HTML5替代Flash播放內容，蘋果也于近日再次封殺老版本的Flash。作為人們上網必備的基礎軟件，安全危機讓Flash的處境日益尷尬。

吃 “大補丸”，Flash變強了嗎?

近年來Adobe一直在重點解決Flash的安全問題，而且卻有脫胎換骨之感，其舉措包括引入大量安全防護機制，并且每個月都會將漏洞防御措施更新。在今年3月Pwn2own黑客大賽的5天前，Flash發布的3月份更新更是被業界稱為吃了“大補丸”，全新的堆管理機制讓無數Flash漏洞的威脅被瞬間鏟平。

　　圖：360Vulcan團隊在PWN2OWN大賽上成功攻破Flash

然而在高明的攻擊技術面前，Flash的防線仍然難言堅固。在Pwn2Own2016上，360Vulcan Team仍率先輕松攻破Flash獲得滿分和全額獎金。而在今年Flash修復的上百個安全漏洞中，有33個漏洞是由360Vulcan的Yuki Chen獨力發現并報告給Adobe的，他也成為全球范圍內最高產的Flash安全研究者。

在ISC2016的漏洞挖據與源代碼安全分論壇上，Yuki Chen將講述Pwn2Own大賽中破解Flash的過程，解讀Adobe公司所采用的防護措施，并首次曝光錯綜復雜的防護措施本身所引發的安全隱患。Flash安全未來路在何方，將在本屆論壇中全面揭曉。