安全专家称Flash已成恶意攻击的重要目标

12月14日，360公司承办的国际顶级的安全技术峰会——SyScan前瞻信息安全技术大会在北京举行。McAfee公司安全研究员Haifei Li发表了《Flash安全过去、现在和将来》主题演讲，阐述了Flash安全的演进过程，并对当前Flash Player的安全审查以及Flash安全弱点提出建议。

图：SyScan360国际安全峰会首次登陆北京

回顾Flash威胁的发展过程，Haifei Li认为，随着自动化发掘技术(Fuzzing)的逐渐成熟，发现漏洞的难度在减少，同时硬件越来越便宜，而软件功能的日趋复杂，漏洞也会因此增多。他同时强调，虽然漏洞容易发现，但在另一方面，漏洞利用的难度却在逐步提高。

据悉，随着ASLR、DEP等系统级保护机制、沙箱技术的运用，漏洞攻击成本开始不断提高。在总结当前Flash安全状况时，Haifei Li表示，企业级的自动化发掘技术每天都在进行，谷歌、微软等大公司的产品都已经集成了Flash player，他们有动力也有义务加强Flash安全。另一方面，通过沙盒化应用减轻Flash的利用，将有利于提高安全性。

Haifei Li一直致力于研究发现安全漏洞。在过去6年时间，他为McAfee、微软公司、华为安全实验室等公司服务，此次专程来到北京为360SyScan安全会议发表演讲。同时，360SyScan也是首次登陆北京，由中国领先的互联网安全公司奇虎360承办，吸引了国内外超过300名技术人员参会，包括安全厂商工程师、科研单位、大学院校等相关人士。