Adobe修復Pwn2Own比賽漏洞 公開致謝360代碼衛士

北京時間4月12日，全球軟體巨頭Adobe發布新一輪安全更新，修復了Adobe Flash Player和Adobe Reader中的多處安全漏洞，上月Pwn2Own世界黑客大賽中使用的多個漏洞也得到修復。Adobe官網同時發布公告致謝發現並報告漏洞的安全研究人員，360代碼衛士和360Vulcan團隊獲得致謝。

圖：360安全團隊獲得Adobe官方公開致謝

在Pwn2Own世界黑客大賽上，由360Vulcan、360代碼衛士等組成的安全團隊僅用3秒就攻破了Adobe Reader，拿下了比賽的首個冠軍；之後拿下微軟、蘋果、Adobe、VMware等巨頭廠商的六大高難項目，排名Pwn2Own官方積分榜榜首，並獲得Master of Pwn破解大師總冠軍。

圖：360安全戰隊榮獲世界黑客大賽總冠軍

360代碼衛士團隊在Pwn2Own比賽中拿下Adobe Reader項目時使用的漏洞（漏洞編號為：CVE-2017-3055）這次被修復。此漏洞為典型的堆溢出漏洞，當Adobe Reader打開特殊構造的PDF文件時，如果拷貝數據的長度超過了申請內存的長度，就會覆蓋其它內存塊的數據，如果使用JavaScript精心布局內存，就能夠控制關鍵數據，達到任意讀寫，最後使用ROP技術達到代碼執行。

Adobe Reader是常見的PDF閱讀器，是廣泛使用的辦公軟體，擁有數以億計的用戶，其漏洞影響面非常廣，漏洞危害巨大。

360代碼衛士團隊長期專註於軟體代碼安全分析技術領域的研究，其自主研發的360代碼衛士系列產品是國內唯一的商用級別產品，可支持Windows、Linux、Android、Apple iOS、IBM AIX等平台上的代碼安全缺陷分析，支持的編程語言涵蓋C/C++/C#/Objective-C/Java/JSP/JavaScript/PHP/Python/Cobol等主流語言。360代碼衛士團隊目前還運營著國內規模最大的開源代碼安全檢測計劃，該計劃目前已經對2200多個開源代碼進行了安全檢測，積累形成了一批開源代碼的安全缺陷檢測基礎數據，這些數據對於開發者了解以及消減開源代碼的安全風險，具有很好的指導意義。360代碼衛士團隊曾多次發現Windows系統、瀏覽器、Adobe Flash Player、Adobe Reader及各開源基礎組件的安全漏洞，獲得國際各權威機構30餘次公開致謝。

360代碼衛士團隊負責人黃永剛表示，發現漏洞能力是代碼安全分析產品最重要的基礎能力，代碼衛士團隊將360公司多年積累的漏洞挖掘研究能力，轉化為專業的代碼安全分析產品，幫助客戶提升軟體的安全性，從而實現信息系統的「內建安全」。

截至目前，360累計向Adobe報告漏洞並獲得致謝111次， 2016年累計向微軟、谷歌、蘋果、Adobe等巨頭報告漏洞共計408次，超過了其他安全廠商的總和。

▲360企業安全集團總裁吳雲坤：不做別人做過的事

▲全球首款郵件防盜系統震撼上線

▲企業安全武漢研發中心開始招人啦！