国外专家称黑客交易iOS漏洞售价达25万美元

　　作为COSEINC公司的高级安全漏洞研究员、移动开发人员，Moti Jospeh介绍了最近微软公司IE浏览器的多种漏洞，都是通过内存破坏的方式实现的。他总结，任何程序中的Bug都可分为两类：一种是bug导致错误代码被执行，程序会立刻产生明显的异常行为;一种是bug破坏变量、数据结构、文件等程序状态，程序会在之后的某个时刻表现出异常。

　　Moti表示，有些黑客热衷于寻找内存破坏漏洞，除了为出名以外，谋取经济利益也是主要原因，有时程序的错误就是黑客的金钱。他举例说，Adobe软件曾被某黑客发现一个漏洞，最终以7.5万美元(约合51.2万人民币)的价格出售。他表示，在这样高额的收入诱惑下，黑客寻找漏洞的热情自然很高。对于软件厂商来说，这显然是严峻的挑战。

　　Moti介绍，目前0Day漏洞的平均价格因软件不同也有较大差异，其中Adobe软件漏洞价格较低，平均0.5万至3万美元一个。相对来说，IE和Chrome浏览器漏洞、iOS系统漏洞价格较高iOS漏洞价格可高达10万至25万美元。

　　Moti Jospeh还现场演示了一些漏洞被执行的情况。他总结出了寻找内存破坏漏洞的三种主要方法：Fuzz技术、二进制审查和上网搜索。

　　SyScan前瞻信息安全技术年会是亚洲最为知名的网络信息安全会议之一，自2004年在新加坡首次举办以来已成功了8次会议。今年SyScan首次登陆北京，携手中国第一大互联网安全公司奇虎360合力举办，开放时间为12月13日至14日，来自谷歌、微软、麦咖啡、趋势科技、奇虎360等国际安全厂商和安全组织的专家发表主题演讲，覆盖Windows内核、浏览器以及移动互联网三大安全领域。