Adobe修復(fù)Pwn2Own比賽漏洞 公開致謝360代碼衛(wèi)士

北京時(shí)間4月12日，全球軟件巨頭Adobe發(fā)布新一輪安全更新，修復(fù)了Adobe Flash Player和Adobe Reader中的多處安全漏洞，上月Pwn2Own世界黑客大賽中使用的多個(gè)漏洞也得到修復(fù)。Adobe官網(wǎng)同時(shí)發(fā)布公告致謝發(fā)現(xiàn)并報(bào)告漏洞的安全研究人員，360代碼衛(wèi)士和360Vulcan團(tuán)隊(duì)獲得致謝。

在Pwn2Own世界黑客大賽上，由360Vulcan、360代碼衛(wèi)士等組成的安全團(tuán)隊(duì)僅用3秒就攻破了Adobe Reader，拿下了比賽的首個(gè)冠軍;之后拿下微軟、蘋果、Adobe、VMware等巨頭廠商的六大高難項(xiàng)目，排名Pwn2Own官方積分榜榜首，并獲得Master of Pwn破解大師總冠軍。

360代碼衛(wèi)士團(tuán)隊(duì)在Pwn2Own比賽中拿下Adobe Reader項(xiàng)目時(shí)使用的漏洞(漏洞編號(hào)為：CVE-2017-3055)這次被修復(fù)。此漏洞為典型的堆溢出漏洞，當(dāng)Adobe Reader打開特殊構(gòu)造的PDF文件時(shí)，如果拷貝數(shù)據(jù)的長(zhǎng)度超過了申請(qǐng)內(nèi)存的長(zhǎng)度，就會(huì)覆蓋其它內(nèi)存塊的數(shù)據(jù)，如果使用JavaScript精心布局內(nèi)存，就能夠控制關(guān)鍵數(shù)據(jù)，達(dá)到任意讀寫，最后使用ROP技術(shù)達(dá)到代碼執(zhí)行。

Adobe Reader是常見的PDF閱讀器，是廣泛使用的辦公軟件，擁有數(shù)以億計(jì)的用戶，其漏洞影響面非常廣，漏洞危害巨大。

將漏洞挖掘能力轉(zhuǎn)化為產(chǎn)品

360代碼衛(wèi)士團(tuán)隊(duì)長(zhǎng)期專注于軟件代碼安全分析技術(shù)領(lǐng)域的研究，其自主研發(fā)的360代碼衛(wèi)士系列產(chǎn)品是國內(nèi)唯一的商用級(jí)別產(chǎn)品，可支持Windows、Linux、Android、Apple iOS、IBM AIX等平臺(tái)上的代碼安全缺陷分析，支持的編程語言涵蓋C/C++/C#/Objective-C/Java/JSP/JavaScript/PHP/Python/Cobol等主流語言。360代碼衛(wèi)士團(tuán)隊(duì)目前還運(yùn)營著國內(nèi)規(guī)模最大的開源代碼安全檢測(cè)計(jì)劃，該計(jì)劃目前已經(jīng)對(duì)2200多個(gè)開源代碼進(jìn)行了安全檢測(cè)，積累形成了一批開源代碼的安全缺陷檢測(cè)基礎(chǔ)數(shù)據(jù)，這些數(shù)據(jù)對(duì)于開發(fā)者了解以及消減開源代碼的安全風(fēng)險(xiǎn)，具有很好的指導(dǎo)意義。360代碼衛(wèi)士團(tuán)隊(duì)曾多次發(fā)現(xiàn)Windows系統(tǒng)、瀏覽器、Adobe Flash Player、Adobe Reader及各開源基礎(chǔ)組件的安全漏洞，獲得國際各權(quán)威機(jī)構(gòu)30余次公開致謝。

360代碼衛(wèi)士團(tuán)隊(duì)負(fù)責(zé)人黃永剛表示，發(fā)現(xiàn)漏洞能力是代碼安全分析產(chǎn)品最重要的基礎(chǔ)能力，代碼衛(wèi)士團(tuán)隊(duì)將360公司多年積累的漏洞挖掘研究能力，轉(zhuǎn)化為專業(yè)的代碼安全分析產(chǎn)品，幫助客戶提升軟件的安全性，從而實(shí)現(xiàn)信息系統(tǒng)的“內(nèi)建安全”。

截至目前，360累計(jì)向Adobe報(bào)告漏洞并獲得致謝111次， 2016年累計(jì)向微軟、谷歌、蘋果、Adobe等巨頭報(bào)告漏洞共計(jì)408次，超過了其他安全廠商的總和。