软件弱点管理公司Qualys收集的数据显示,Firefox是今年被通报最多弱点的应用软件,而Adobe软件的漏洞也比去年增加三倍以上。
Qualys统计的Firefox漏洞高达102个,比去年增加90%。这些数据是根据美国国家漏洞数据库(National Vulnerability Database)的纪录。
然而,Firefox的弱点多不代表这个网络浏览器的程序错误最多,只是它被通报的漏洞最多。Qualys技术长Wolfgang Kandek表示,由于Firefox是开原码软件,所有漏洞皆公开揭露,不像专有软件,如Adobe和微软,通常只公开外部研究员抓到的漏洞,内部发现的问题则隐匿不报。
Adobe今年取代微软,高居漏洞榜的第二位。该公司软件被通报的弱点,从去年的14个窜升到今年的45个,而微软则从44个降至41个。在微软众多的产品中,Internet Explorer、Windows Media Player和Office就囊括当中的30个。
Kandek指出,这些数据显示攻击者已将焦点从操作系统转到应用软件。他说:「操作系统变得更稳定且更难攻击,因此攻击者便转移到应用软件。Adobe现在是一大目标,大约比微软Office高出10倍。然而,其它广泛被锁定的目标,如IE和Firefox,仍然非常不安全。」
F-Secure今年稍早公布的调查结果,也证明Adobe软件现在是比微软软件更热门的目标。单在2009年第一季,F-Secure就发现663个目标性攻击文件,当中最普遍的格式为PDF,比率将近50%。其次是微软Word档,约占40%。而后是Excel的7%和PowerPoint的4.5%。
2008年的数据是1,968个目标性攻击,其中Word将近35%,排名第二的Reader占28%以上,Excel攻击档约20%,PowerPoint约17%。
由此可见,Adobe需要效法微软在2002年的作法。当时微软推出其Trustworthy Computing(可信任运算)方案,将产品安全防护提升为全公司的首要任务。F-Secure甚至建议民众停止使用Reader,改用其它PDF阅读器。
Adobe已采取若干行动。该公司在5月份宣布,今后将固定每季发布安全更新。微软目前采每月定期更新。
另一项本周公布的研究结果,锁定使用者风险最高的应用软件。Bit9表示,在Windows系统执行、弱点最多且没有自动更新的软件,以Firefox居首,接着是Adobe Reader和苹果QuickTime。
Bit9根据国家弱点数据库所整理的高风险软件名单,还包括Java、Flash Player、Safari、Shockwave、Acrobat、Opera、Real Player和Trillian。去年上榜的软件包括Skype、Yahoo IM和AOL IM,但今年这三项软件已不在榜上。
微软和Google的软件都没上榜,因为他们都可自动安装修补程序。微软是透过Microsoft Systems Management Server或Windows Server Update Services自动更新,而Google Chrome会在使用者连上网络时自动更新。
这份榜单没有计入公司发布修补方案所花的时间,尤其是在攻击程序已经散布的情况。Bit9表示,微软IE值得一座「荣誉奖」,因为今年7月份一个ActiveX相关的零时差弱点,竟拖了整整三周才提供修补。
微软不是唯一的慢郎中。今年3月,Adobe针对Reader和Acrobat发布的零时差修补方案,距离该弱点被发现已经两周,而相关的攻击更已散布近两个月。
最近一个Reader和Acrobat的零时差漏洞,Adobe顾客必须再等一个月左右,才能得到解决。该公司17日宣布,将在下一次季度安全更新日,也就是
京公网安备 11010802021500号
用户评论