本帖最后由 飞机飞行 于 2015-12-24 19:22 编辑
漏洞百出,但有惊无险的2015年正走向尾声。在今年的安全领域,漏洞挖掘依然成为安全厂商们展现技术能力的主要平台;而Adobe、微软、苹果、谷歌这些世界巨头的致谢名单,也照旧是安全工作者们角力的演武场。 Adobe——破纪录!个人单次提交29个漏洞 2015年的Adobe颇为不顺,在1月就被爆出Flash Player存在“高危漏洞”,好在修补及时,未造成巨大损失。而在2015年多家巨头的全部安全更新报告中,Adobe也是国内安全团队收到致谢次数最多的一家。很难说这是Adobe的悲剧,还是国内安全团队高技术使然。 在2015年的Adobe致谢榜中,Google Project Zero团队排名全球第一,360排名全球第二,另外两支中国团队阿里巴巴和Keen Team也有着不错的表现。值得一提的是,来自360 Vulcan团队的Yuki Chen,在最新一期的安全更新中,一人收到29个漏洞致谢;如果再包括之前向Adobe提供的漏洞,仅Yuki Chen一人,就在2015年收到了Adobe的45次漏洞致谢,堪称史上之最。
微软——致谢名单上,国内团队百花齐放 作为国内使用数量最多的电脑系统,我国安全技术人员对微软的了解程度,甚至不亚于微软本身。也因此,微软成为了我国安全团队出现次数最多的平台——在2015年度微软致谢名单中,国内有360、Keen Team等8家国内厂商与团队悉数上榜。 截止至2015年11月底,我国安全团队已为微软提供了至少99个漏洞;这还不包括个人“找漏”选手,以及FireEye、平底锅等国际团队中的华人成员。 为表彰全世界参与提共漏洞的安全技术人员,微软曾于今年8月举行的“黑帽大会(BlackHat)”上,发布全球TOP100感谢榜,上榜者中有四分之一来自中国安全团队。国内安全团队对微软了解程度之深,由此可见一斑。 价值千万美金的漏洞相赠 如今漏洞已经成为网络安全领域的高价值“军火”,国际知名的漏洞贩子Zerodium,公布了最新的漏洞收购价目表。从微软IE到苹果iOS,流行软件与系统的漏洞都被明码标价;价格也是从5K刀到50W刀不等。
按照这份报价,国内安全团队所挖掘漏洞的总价值不菲,仅360一家就挖到了91个微软漏洞、55个Adobe Flash漏洞、10个苹果系统漏洞、18个谷歌安卓和Chrome漏洞、9个VMware等虚拟化漏洞,价值就达近千万美元。不过基于安全人员的操守,这些漏洞都被直接提供给微软、谷歌和苹果等公司进行修复,而不是卖给“网络军火商”赚取巨额经济利益。 |
评论
直达楼层