CNET科技資訊網12月21日國際報導軟件漏洞管理公司Qualys收集的數據顯示,Firefox是今年被通報最多漏洞的應用軟件,而Adobe軟件的漏洞也比去年增加三倍以上。
Qualys統計的Firefox漏洞高達102個,比去年增加90%。這些數據是根據美國國家漏洞資料庫(National Vulnerability Database)的紀錄。
然而,Firefox的漏洞多不代表這個網絡瀏覽器的程序錯誤最多,只是它被通報的漏洞最多。 Qualys首席技術官Wolfgang Kandek表示,由於Firefox是開源軟件,所有漏洞皆公開揭露,不像專有軟件,如Adobe和微軟,通常隻公開外部研究員抓到的漏洞,內部發現的問題則隱匿不報。
Adobe今年取代微軟,高居漏洞榜的第二位。 Adobe軟件被通報的漏洞,從去年的14個竄升到今年的45個,而微軟則從44個降至41個。在微軟眾多的產品中,Internet Explorer、Windows Media Player和Office就囊括當中的30個。
Kandek指出,這些數據顯示攻擊者已將焦點從操作系統轉到應用軟件。他說:操作系統變得更穩定且更難攻擊,因此攻擊者便轉移到應用軟件。 Adobe現在是一大目標,大約比微軟Office高出10倍。然而,其他廣泛被鎖定的目標,如IE和Firefox,仍然非常不安全。
F-Secure今年稍早公佈的調查結果,也證明Adobe軟件現在是比微軟軟件更熱門的目標。單在2009年第一季,F-Secure就發現663個目標性攻擊,當中最普遍的格式為PDF,比率將近50%。其次是微軟Word,約佔40%。而後是Excel的7%和PowerPoint的4.5%。
2008年的數據是1,968個目標性攻擊,其中Word將近35%,排名第二的Reader佔28%以上,Excel攻擊約20%,PowerPoint約17%。
由此可見,Adobe需要效法微軟在2002年的作法。當時微軟推出其Trustworthy Computing(可信計算)方案,將產品安全防護提升為全公司的首要任務。 F-Secure甚至建議用戶停止使用Reader,改用其他PDF閱讀器。
Adobe已採取若干行動。 Adobe在5月份宣布,今後將固定每季發布安全更新。微軟目前採每月定期更新。
另一項本周公布的研究結果,鎖定使用者風險最高的應用軟件。 Bit9表示,在Windows系統執行、漏洞最多且沒有自動更新的軟件,以Firefox居首,接著是Adobe Reader和蘋果QuickTime。
Bit9根據漏洞數據庫所整理的高風險軟件名單,還包括Java、Flash Player、Safari、Shockwave、Acrobat、Opera、Real Player和Trillian。去年上榜的軟件包括Skype、Yahoo IM和AOL IM,但今年這三項軟件已不在榜上。
微軟和Google的軟件都沒上榜,因為他們都可自動安裝補丁程序。微軟是通過Microsoft Systems Management Server或Windows Server Update Services自動更新,而Google Chrome會在使用者連上網絡時自動更新。
這份榜單沒有計入公司發布補丁方案所花的時間,尤其是在攻擊程序已經散佈的情況。 Bit9表示,微軟IE值得一座“榮譽獎”,因為今年7月份一個ActiveX相關的零日漏洞,竟拖了整整三週才提供補丁。
微軟不是唯一的慢郎中。今年3月,Adobe針對Reader和Acrobat發布的零日補丁方案,距離該漏洞被發現已經兩週,而相關的攻擊更已散佈近兩個月。
最近一個Reader和Acrobat的零日漏洞,Adobe用戶必須再等一個月左右,才能得到解決。 Adobe宣布,將在下一次季度安全更新日,也就是1月12日,修補這項漏洞。
Replica WatchesIWC Replica watchReplica Audemars Piguet watchReplica Richard Mille watchReplica Rolex WatchesReplica Longines WatchesZenith Replica WatchesReplica Panerai WatchesReplica Chanel Watches
沒有留言:
張貼留言