价值170万美元的Flash漏洞 360Vulcan免费提交给Adobe修复

在网络世界，安全漏洞无疑是最具杀伤力的武器，那些影响面广、危害严重的基础软件漏洞更是价值不菲。根据“网络军火商”Zerodium最新公布的漏洞收购价，一个Adobe Flash Player的远程代码执行漏洞价值高达5万美元。不过，仍有一些黑客技术高手面对天文数字的漏洞价格毫不动心，将手中的0day漏洞免费提供给软件厂商修复，并且一次性就提供了34个：

北京时间12月9日凌晨，Adobe发布2015年最后一波安全更新，重点是修复Adobe Flash Player存在的漏洞，其中就包括由360Vulcan团队提交的34个高危漏洞，360Vulcan团队成员Yuki Chen一人就提交了29个漏洞。按照公开的漏洞价格，这些漏洞如果卖给Zerodium，可以获得170万美元收入，足够在北京市区买一套房子。360Vulcan团队却将这些漏洞完全免费地提交给Adobe修复。

图1：Zerodium高价收购各类漏洞

作为装机必备软件，Adobe Flash Player广泛应用在网页视频、游戏等领域，影响Windows、Mac、Linux等不同操作系统，Flash漏洞无疑是不法黑客攻击者眼中的“香饽饽”。而对于Flash用户来说，这些漏洞如果得不到修复，电脑里就像埋下了一颗颗定时炸弹，随时可能被不法分子引爆。

Zerodium等“网络军火商”之所以愿意高价收购漏洞，是因为这些漏洞如果被用于非法入侵，就能带来远高于购买价格的经济利益回报。迄今，已有多个Flash漏洞被发现用于网络空间战、商业间谍和勒索软件等攻击行为中，其攻击收益自然远远高于5万美元。

攻击者可以利用漏洞扩充自己的军火库，并不断对企业或政府机关进行攻击，以谋求经济利益或重要情报。而对网民来说，存储在机构、企业服务器上的个人数据都有可能成为不法分子的战利品，甚至个人电脑也会被木马利用漏洞入侵控制。

图2：360Vulcan团队向Adobe一举提交34个Flash漏洞

但并非所有黑客都会被金钱利益诱惑。在Adobe漏洞致谢榜上，360Vulcan Team、Google Project Zero等著名的“白帽子军团”已经无偿贡献了大量漏洞。对于专门帮助厂商修复漏洞的白帽子来说，把漏洞及时修补远比卖给“网络军火商”更有价值得多。

而这也并不是360Vulcan第一次免费提交漏洞。仅2015年，360Vulcan团队已经为微软、苹果、谷歌、Adobe免费报告了80个漏洞，包括22个微软漏洞、52个Adobe产品漏洞、5个苹果iOS系统漏洞和1个谷歌Chrome浏览器漏洞，360Vulcan也因此获得这些国际巨头的公开致谢，成为全亚洲发现基础软件高危漏洞数量最多、质量最高的安全团队。