自 Adobe公司上次更新 Flash播放器已经过去了两周，漏洞商业利用市场已经对绕过这些安全更新产生了新的兴趣。

漏洞交易平台Zerodium近日在推特上宣布，愿意为攻破最新版Flash “堆隔离”特性的人员支付10万美金。这种内存防御机制可以让利用某些类型的安全漏洞更加困难，也意味着黑客最近几年用于注入恶意软件的手段不再管用。

Adobe在2015年早些时候与谷歌 Project Zero 漏洞研究团队合力开发了这项新功能，与此同时，Project Zero 团队也报告称Flash Player 三分之一的漏洞已在2015年内修复。

Adobe公司首席科学家菲勒斯·尤利(Peleus Uhley)在去年12月21日发表的一篇博文中称，谷歌 Project Zero 开发了堆隔离特性的向量，Adobe 公司则将该保护手段推广到了 ByteArray 类。“在上周发布之后，Adobe 重写了内存管理器，以扩大堆隔离特性的应用范畴。”

本月月内，Zerodium对能够绕过堆隔离特性和沙箱机制的手段悬赏10万美金。不能够绕过沙盒，但能够击败堆隔离机制的手段则能够拿到6.5万美元。

Chaouki Bekrar 在去年建立了 Zerodium，他是现在已经接解散的法国漏洞研究公司 Vupen Security 的创始人，这家公司因制造并向政府销售漏洞而知名。Zerodium 的目标和 Vupen 类似，但与制造自己的漏洞不同，它从第三方研究人员手中获取漏洞。Zerodium 对漏洞的要求很苛刻：高风险级，能够可靠利用，基于现代操作系统、软件及设备，未被报告给受影响厂商。Zerodium 公司声称能够为订购其安全研究服务的客户提供所需的漏洞信息，外加防护措施和安全建议。这些客户包括“国防、科技、财经领域需要零日漏洞防护的主要企业，以及需要特定和定制安全能力的政府组织。”

Zerodium 等漏洞收集平台提供的高回报对于安全研究人员而言很难拒绝，吸引他们不向受影响厂商上报漏洞，而是拖延软件更新的进度，让用户在更长时间内处在不安全状态中。在赏金方面，很少有软件制造商能够达到漏洞收集平台的水平。

今年九月，Zerodium为能够入侵 iOS 9 的浏览器漏洞出价100万美金。11月，该平台发表声明称已有小组拿到了悬赏。