在網(wǎng)絡(luò)世界，安全漏洞無疑是最具殺傷力的武器，那些影響面廣、危害嚴重的基礎(chǔ)軟件漏洞更是價值不菲。根據(jù)“網(wǎng)絡(luò)軍火商”Zerodium最新公布的漏洞收購價，一個Adobe Flash Player的遠程代碼執(zhí)行漏洞價值高達5萬美元。不過，仍有一些黑客技術(shù)高手面對天文數(shù)字的漏洞價格毫不動心，將手中的0day漏洞免費提供給軟件廠商修復(fù)，并且一次性就提供了34個：

北京時間12月9日凌晨，Adobe發(fā)布2015年最后一波安全更新，重點是修復(fù)Adobe Flash Player存在的漏洞，其中就包括由360Vulcan團隊提交的34個高危漏洞，360Vulcan團隊成員Yuki Chen一人就提交了29個漏洞。按照公開的漏洞價格，這些漏洞如果賣給Zerodium，可以獲得170萬美元收入，足夠在北京市區(qū)買一套房子。360Vulcan團隊卻將這些漏洞完全免費地提交給Adobe修復(fù)。

圖1：Zerodium高價收購各類漏洞

作為裝機必備軟件，Adobe Flash Player廣泛應(yīng)用在網(wǎng)頁視頻、游戲等領(lǐng)域，影響Windows、Mac、Linux等不同操作系統(tǒng)，F(xiàn)lash漏洞無疑是不法黑客攻擊者眼中的“香餑餑”。而對于Flash用戶來說，這些漏洞如果得不到修復(fù)，電腦里就像埋下了一顆顆定時炸彈，隨時可能被不法分子引爆。

Zerodium等“網(wǎng)絡(luò)軍火商”之所以愿意高價收購漏洞，是因為這些漏洞如果被用于非法入侵，就能帶來遠高于購買價格的經(jīng)濟利益回報。迄今，已有多個Flash漏洞被發(fā)現(xiàn)用于網(wǎng)絡(luò)空間戰(zhàn)、商業(yè)間諜和勒索軟件等攻擊行為中，其攻擊收益自然遠遠高于5萬美元。

攻擊者可以利用漏洞擴充自己的軍火庫，并不斷對企業(yè)或政府機關(guān)進行攻擊，以謀求經(jīng)濟利益或重要情報。而對網(wǎng)民來說，存儲在機構(gòu)、企業(yè)服務(wù)器上的個人數(shù)據(jù)都有可能成為不法分子的戰(zhàn)利品，甚至個人電腦也會被木馬利用漏洞入侵控制。

圖2：360Vulcan團隊向Adobe一舉提交34個Flash漏洞

但并非所有黑客都會被金錢利益誘惑。在Adobe漏洞致謝榜上，360Vulcan Team、Google Project Zero等著名的“白帽子軍團”已經(jīng)無償貢獻了大量漏洞。對于專門幫助廠商修復(fù)漏洞的白帽子來說，把漏洞及時修補遠比賣給“網(wǎng)絡(luò)軍火商”更有價值得多。

而這也并不是360Vulcan第一次免費提交漏洞。僅2015年，360Vulcan團隊已經(jīng)為微軟、蘋果、谷歌、Adobe免費報告了80個漏洞，包括22個微軟漏洞、52個Adobe產(chǎn)品漏洞、5個蘋果iOS系統(tǒng)漏洞和1個谷歌Chrome瀏覽器漏洞，360Vulcan也因此獲得這些國際巨頭的公開致謝，成為全亞洲發(fā)現(xiàn)基礎(chǔ)軟件高危漏洞數(shù)量最多、質(zhì)量最高的安全團隊。