趨勢科技(Trend Micro)在“2016回顧”報告中表示，其公司的零日計劃(Zero Day Initiative，ZDI)去年發(fā)布了674份漏洞報告，并向提交漏洞報告的研究人員支付獎金近200萬美元。

ZDI通過物質(zhì)獎酬鼓勵負(fù)責(zé)任的漏洞披露，但趨勢科技未將獲得的漏洞進(jìn)行轉(zhuǎn)售或再分發(fā)。而是利用這些信息保護(hù)TippingPoint客戶在補(bǔ)丁發(fā)布之前免受潛在攻擊。

所有這些報告中，其中有54個漏洞在披露之時未進(jìn)行修補(bǔ)。但其余的漏洞在與受影響廠商協(xié)調(diào)的情況下得以成功解決。研究人員報告了許多漏洞，但ZDI駁回了近43%。

其中，最令人關(guān)注的漏洞包括Internet Explorer (CVE-2016-3382)、Edge (CVE-2016-0158)、Windows (CVE-2016-7272)、OS X (CVE-2016-1806), Flash Player (CVE-2016-7857)和Chrome (CVE-2016-5161)。CVE-2016-1806在Pwn2Own黑客大賽上被披露 。

去年，一些研究人員表現(xiàn)突出，包括kdot(30份報告)、bee13oy(18份報告)、rgod(15份報告)和Steven Seeley(20份報告)。這些專家在廠商解決漏洞時便公開發(fā)布十幾份其它的報告。發(fā)布的報告中，其中有12%是ZDI內(nèi)部員工提供的。

去年，ZDI共發(fā)布674份報告，其中149份涉及影響Adobe產(chǎn)品的漏洞，占總數(shù)的22%。值得注意的是，Adobe for Flash Player 在11月“補(bǔ)丁星期二”發(fā)布更新，解決了9個漏洞(所有這些漏洞都是ZDI向Adobe報告的)。

令人驚訝的是，工業(yè)自動化解決方案提供商Advantech的漏洞報告數(shù)量在廠商中排名第二(112份)。排行前10的廠商還包括Microsoft、 Apple、 Foxit、Oracle、Solarwinds、Trend Micro、HPE和Google。

ZDI的Dustin Childs表示，“有趣的事實是，關(guān)于蘋果產(chǎn)品的漏洞報告在增加。雖然2014年和2015年蘋果產(chǎn)品的漏洞報告僅占4%，但2016年，其報告為61份，占比上升至9%。讓我們看看2017年這種趨勢是否還將繼續(xù)。”

目前，未來四個月有379份待披露的漏洞報告，這表明2017年發(fā)布的漏洞報告數(shù)量至少跟2016年一致。