午夜视频在线观看区二区,婷婷综合国产激情在线,国产精品成人在线

2014安全形勢：安全漏洞仍不容忽視

責任編輯：editor004

2014-03-03 17:32:23

摘自：ZDNet安全頻道

Secunia發布報告稱，2013年當中有76%的安全漏洞源自個人PC平臺上的五十款人氣最高的程序，這些漏洞會給第三方程序帶來后續威脅。Secunia公司的一份研究結果顯示，與大家想象的一樣，網絡瀏覽器以及其它涉及互聯網連接的程序屬于攻擊活動的主要受害對象

沒錯，一部分操作系統的安全性確實并另一部分更出色。舉例來說，OpenBSD系統確實能夠保護我們免受攻擊者的侵擾。而其它系統，尤其是Windows，在安全性方面的名聲實在有些狼藉——但近幾年來情況已經有所好轉。除此之外，Linux與Mac OS X都擁有良好的安全聲譽，但近來Mac OS X遭遇嚴重的SSL跳轉安全漏洞，這嚴重損害了它在我們心目中的形象。

不過說一千道一萬，真正方興未艾的安全問題并不存在于操作系統之中、而是潛伏在應用程序之內，安全企業FireEye與Secunia指出。

Secunia發布報告稱，2013年當中有76%的安全漏洞源自個人PC平臺上的五十款人氣最高的程序，這些漏洞會給第三方程序帶來后續威脅。也就是說根據Secunia的報告，Windows繼續成為安全威脅最嚴重的操作系統。就目前流行程度最高的Windows 7方案來說，人氣高漲的同時也吸引到了眾多黑客的關注。再向前看，微軟預計XP用戶將由于官方安全支持的中止而面臨所謂“永遠的零日漏洞”威脅。

Secunia還發現，“與前一年相比，微軟程序在2013年所曝出的安全漏洞呈現顯著增加的趨勢。微軟應用程序出現安全問題的比率由前一年的8.4%上升到15.9%。2013年，微軟程序當中出現的實際安全漏洞數量為192個，相當于2012年同一數字的128.6%。”即使如此，惡意軟件攻擊主體（75.7%）所針對的仍然是第三方應用程序。

那么這些攻擊活動到底有多嚴重？根據 FireEye公司的報告，2012年企業用戶每三秒鐘就會遭遇一次攻擊。而到2013年，攻擊活動的頻率已經增加到每1.5秒一次。沒錯，他們不是在開玩笑。

Secunia公司的一份研究結果顯示，與大家想象的一樣，網絡瀏覽器以及其它涉及互聯網連接的程序屬于攻擊活動的主要受害對象。與以往一樣，網絡瀏覽器幾乎始終受到惡意攻擊。有鑒于此，谷歌與惠普拿出超過三百萬美元來獎勵那些能夠在Pwn2Home以及Pwnium安全大會上攻克熱門瀏覽器的黑客。

具體來說，FireEye在研究中發現“2013年上半年，Java成為攻擊者們發掘零日攻擊機會的主要目標。其主要原因之一在于，針對Java進行漏洞利用難度要遠低于大部分其它軟件。作為專門為了預防不明代碼付諸運行的保護機制，操作系統攻擊防御方案往往無法在Java漏洞面前正常起效，因為攻擊者破壞的僅僅是Java安全管理器當中的一個‘指針’而已。”

隨著時間的推移，雖然Java仍然屬于安全問題的重災區、但其重要程度卻在不斷下降。“在2013年下半年期間，FireEye公司的研究人員發現針對IE瀏覽器零日漏洞的攻擊活動呈現出爆發性增長，其中一位攻擊者甚至突破了特定得益群體經常光顧的某個重要網站——而這部分訪問者才是最終攻擊目標（如果他們的瀏覽器存在同樣的漏洞，那么他們也就同時成為了受害者）。我們認為這些攻擊活動的嚴重程度不容忽視，而且中心讓IE瀏覽器成為2013年當中最為高危的零日攻擊載體。”

想聽點好消息？“這部分攻擊活動主要針對舊版本IE，例如IE 7.0以及8.0。”

壞消息當然也是有的。FireEye公司“還發現一部分針對較新版本IE瀏覽器的零日攻擊活動，外加一部分用于繞過地址空間布局隨機化（簡稱ASLR）以及數據執行保護（簡稱DEP）的新型攻擊技術——其中包括對釋放后使用（簡稱UAF）以及信息泄露漏洞的利用。遺憾的是，這意味著即使是較新版本的IE瀏覽器同樣有可能遭遇攻擊，而且ASLR/DEP等傳統安全保護手段本身也存在紕漏。”

當然，Adobe Acrobat與Flash同樣是吸引攻擊者眼球的好靶子。舉例來說，“最近的兩次攻擊活動——一次指向Adobe Flash、另一次則指向Adobe Reader——利用的就是其中的關鍵性沙箱漏洞。另有一次攻擊利用Windows XP內核中的安全漏洞規避了Adobe Reader的沙箱機制。第四個案例則將Flash案例漏洞嵌入到了微軟Office文件當中，從而一口氣繞開了沙箱機制——但其影響范圍僅限于使用Office 2008的用戶。”

說了這么多沉重的話題，下面來聊聊好的一面。零日攻擊活動的普遍性正在逐步減弱。Secunia公司發現“在整體產品當中，78.6%的安全漏洞都會以每天一個補丁的速度被逐步修復；而在使用頻率最高的五十款軟件產品當中，這一修復比例更是高達86.1%。這意味著隨著時間的推移軟件安全性將日益改善，特別是相較于過去五年的情況而言——其中修復率最低的一年僅為61.6%。對于這種持續向好的安全形勢，最合適的解釋可能是研究人員開始不斷將其安全漏洞報告與軟件供應商進行共享，從而保證大多數情況下相關問題都能立刻得到解決。”

當然，如果大家不盡快為程序安裝更新補丁的話，情況就沒這么樂觀了?？傊?，如果大家保證自己的軟件始終保持在最新狀態，那么當下的互聯網安全性還是可以令人放心的。不過請務必注意這個重要前提——讓軟件保持在最終狀態。

安全漏洞操作系統應用程序谷歌