灰帽子:国内安全厂商面对0DAY漏洞吹拉弹唱

FLASH近日接连爆出 0DAY漏洞,黑客可以利用这些漏洞远程控制受害者计算机,窃取文件和银行、游戏密码。  最新的FLASH 漏洞(CVE2011-0611)恶意文件,早在4月8号就已在国外安全组织内部流传,国外黑客更是在3天后的4月11号就全面曝光了这个漏洞,FLASH 所属的公司Adobe 也官方发表了声明承认了漏洞. 国外很多新闻都发出来了 ,可以说是路人皆知。
  “截获”漏洞时间
  公开曝光后,过了一天,也就是到了4月12号,我们就看到瑞星 、360等国内安全公司纷纷跳出来称自己发现并“截获”了最新FLASH漏洞。这个“截获”速度和国外媒体公开报道的速度一样快.难道是捕获了国外的公开新闻?当然也有更慢的,金山就至今也没什么动静。
  病毒警报有偏颇,漏洞与WORD 无关
  观察这些安全警报我们还发现了一些让人非议所思的事情 。
  首先这个恶意攻击的样本,截止到现在大家看到的都是嵌入在WORD 中的FLASH 漏洞,还没有哪个厂商公开说检测到互联网上有恶意网页使用了该漏洞。但是360确已经在安全警报中“率先”使用360 安全卫士拦截到了一些恶意网页。


  不知道360 能不能给大家看一下这是拦截的哪个URL?
  还有这些厂商都在强调恶意word文件,实际上正在的分析攻击样本大家就不难看出,这个漏洞和WORD本身没有半毛钱的关系。这是FLASH 的漏洞,可以嵌入到word中,也可以嵌入到网页里。只不过外国公开的利用样本是嵌入在了word里。

  黑客在flash 中实施了 heap spray 的攻击。
  目前这个恶意DOC 样本,在4月14日有20多个杀软可以查杀
  http://www.virustotal.com/file-scan/report.html?id=1e677420d7a8160c92b2f44f1ef5eea1cf9b0b1a25353db7d3142b268893507f-1302743876
  不过 360 杀毒使用罗马尼亚的BitDefender引擎,瑞星 、江民 (金山没有参加virustotal.)都没有检测出,我们使用virscan发现金山也不能检出。
  一月前的漏洞现在不能检测
  值得一体的是国产的金山、瑞星、江民等等所有的这些软件甚至一个月前的CVE2011-0609漏洞利用样本都不能检测。
  详细看:
  http://www.virscan.org/report/8b34fd3026804ff763f896fea795db97.html
  另外还有一个360,360 不知道算不算国产呢 ?要是按照它是使用的罗马尼亚的 BD 杀毒引擎,对一个月前的CVE2011-0609漏洞还是可以检测到的。
  喊漏洞的时候比谁都积极吹拉弹唱各显神通 ,吓唬用户比谁都快。整日口水战 ,喊完后一个月连公开病毒样本都不处理。我们还是希望安全厂商们还是把喊漏洞的这种“激情”用在解决问题上,用户也能多一份安全。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon 2.0)