北京时间4月12日,全球软件巨头Adobe发布新一轮安全更新,修复了Adobe Flash Player和Adobe Reader中的多处安全漏洞,上月Pwn2Own世界黑客大赛中使用的多个漏洞也得到修复。Adobe官网同时发布公告致谢发现并报告漏洞的安全研究人员,360代码卫士和360Vulcan团队获得致谢。
图:360安全团队获得Adobe官方公开致谢
在Pwn2Own世界黑客大赛上,由360Vulcan、360代码卫士等组成的安全团队仅用3秒就攻破了Adobe Reader,拿下了比赛的首个冠军;之后拿下微软、苹果、Adobe、VMware等巨头厂商的六大高难项目,排名Pwn2Own官方积分榜榜首,并获得Master of Pwn破解大师总冠军。
图:360安全战队荣获世界黑客大赛总冠军
360代码卫士团队在Pwn2Own比赛中拿下Adobe Reader项目时使用的漏洞(漏洞编号为:CVE-2017-3055)这次被修复。此漏洞为典型的堆溢出漏洞,当Adobe Reader打开特殊构造的PDF文件时,如果拷贝数据的长度超过了申请内存的长度,就会覆盖其它内存块的数据,如果使用JavaScript精心布局内存,就能够控制关键数据,达到任意读写,最后使用ROP技术达到代码执行。
Adobe Reader是常见的PDF阅读器,是广泛使用的办公软件,拥有数以亿计的用户,其漏洞影响面非常广,漏洞危害巨大。
将漏洞挖掘能力转化为产品
360代码卫士团队长期专注于软件代码安全分析技术领域的研究,其自主研发的360代码卫士系列产品是国内唯一的商用级别产品,可支持Windows、Linux、Android、Apple iOS、IBM AIX等平台上的代码安全缺陷分析,支持的编程语言涵盖C/C++/C#/Objective-C/Java/JSP/JavaScript/PHP/Python/Cobol等主流语言。360代码卫士团队目前还运营着国内规模最大的开源代码安全检测计划,该计划目前已经对2200多个开源代码进行了安全检测,积累形成了一批开源代码的安全缺陷检测基础数据,这些数据对于开发者了解以及消减开源代码的安全风险,具有很好的指导意义。360代码卫士团队曾多次发现Windows系统、浏览器、Adobe Flash Player、Adobe Reader及各开源基础组件的安全漏洞,获得国际各权威机构30余次公开致谢。
360代码卫士团队负责人黄永刚表示,发现漏洞能力是代码安全分析产品最重要的基础能力,代码卫士团队将360公司多年积累的漏洞挖掘研究能力,转化为专业的代码安全分析产品,帮助客户提升软件的安全性,从而实现信息系统的“内建安全”。
截至目前,360累计向Adobe报告漏洞并获得致谢111次, 2016年累计向微软、谷歌、苹果、Adobe等巨头报告漏洞共计408次,超过了其他安全厂商的总和。