Firefox被通报漏洞最多 Adobe比去年增加3倍以上

CNET科技资讯网12月21日国际报道 软件漏洞管理公司Qualys收集的数据显示，Firefox是今年被通报最多漏洞的应用软件，而Adobe软件的漏洞也比去年增加三倍以上。

Qualys统计的Firefox漏洞高达102个，比去年增加90%。这些数据是根据美国国家漏洞资料库（National Vulnerability Database）的纪录。

然而，Firefox的漏洞多不代表这个网络浏览器的程序错误最多，只是它被通报的漏洞最多。Qualys首席技术官Wolfgang Kandek表示，由于Firefox是开源软件，所有漏洞皆公开揭露，不像专有软件，如Adobe和微软，通常只公开外部研究员抓到的漏洞，内部发现的问题则隐匿不报。

Adobe今年取代微软，高居漏洞榜的第二位。Adobe软件被通报的漏洞，从去年的14个窜升到今年的45个，而微软则从44个降至41个。在微软众多的产品中，Internet Explorer、Windows Media Player和Office就囊括当中的30个。

Kandek指出，这些数据显示攻击者已将焦点从操作系统转到应用软件。他说：操作系统变得更稳定且更难攻击，因此攻击者便转移到应用软件。Adobe现在是一大目标，大约比微软Office高出10倍。然而，其他广泛被锁定的目标，如IE和Firefox，仍然非常不安全。

F-Secure今年稍早公布的调查结果，也证明Adobe软件现在是比微软软件更热门的目标。单在2009年第一季，F-Secure就发现663个目标性攻击，当中最普遍的格式为PDF，比率将近50%。其次是微软Word，约占40%。而后是Excel的7%和PowerPoint的4.5%。

2008年的数据是1,968个目标性攻击，其中Word将近35%，排名第二的Reader占28%以上，Excel攻击约20%，PowerPoint约17%。

由此可见，Adobe需要效法微软在2002年的作法。当时微软推出其Trustworthy Computing（可信计算）方案，将产品安全防护提升为全公司的首要任务。F-Secure甚至建议用户停止使用Reader，改用其他PDF阅读器。

Adobe已采取若干行动。Adobe在5月份宣布，今后将固定每季发布安全更新。微软目前采每月定期更新。

另一项本周公布的研究结果，锁定使用者风险最高的应用软件。Bit9表示，在Windows系统执行、漏洞最多且没有自动更新的软件，以Firefox居首，接着是Adobe Reader和苹果QuickTime。

Bit9根据漏洞数据库所整理的高风险软件名单，还包括Java、Flash Player、Safari、Shockwave、Acrobat、Opera、Real Player和Trillian。去年上榜的软件包括Skype、Yahoo IM和AOL IM，但今年这三项软件已不在榜上。

微软和Google的软件都没上榜，因为他们都可自动安装补丁程序。微软是通过Microsoft Systems Management Server或Windows Server Update Services自动更新，而Google Chrome会在使用者连上网络时自动更新。

这份榜单没有计入公司发布补丁方案所花的时间，尤其是在攻击程序已经散布的情况。Bit9表示，微软IE值得一座“荣誉奖”，因为今年7月份一个ActiveX相关的零日漏洞，竟拖了整整三周才提供补丁。

微软不是唯一的慢郎中。今年3月，Adobe针对Reader和Acrobat发布的零日补丁方案，距离该漏洞被发现已经两周，而相关的攻击更已散布近两个月。

最近一个Reader和Acrobat的零日漏洞，Adobe用户必须再等一个月左右，才能得到解决。Adobe宣布，将在下一次季度安全更新日，也就是1月12日，修补这项漏洞。