热门APP缺陷较少 但更新仍是问题

畅享网报道，近日，Secunia公司发布的一份报告指出，虽然2012年全球的安全漏洞数量有所增加，但若单就前50个最受欢迎的桌面应用程序来看，其缺陷总数已有所减少。

漏洞管理公司Secunia发布的一份报告指出，虽然在软件产品中发现的安全漏洞的数量在2013年增长了5%，但最通用的桌面应用程序的漏洞却已有所减少。

报告强调，漏洞研究者及攻击者的战略已经发生了转移——从只关注微软的产品漏洞，扩展到其他普及的应用平台。虽然的产品在最常见的50个计算机程序中占有29个席位，但是在微软的产品中只有14%的漏洞。第三方软件，如Google的Chrome浏览器，Mozilla的Firefox浏览器以及Apple的iTunes，则产生剩余86%的漏洞。

Secunia的首席安全官Thomas Kristensen解释说，之所以将研究关注点转移到其他地方，是因为已经越来越难在Microsoft的应用程序中找出严重的漏洞。此外，由于他们的补丁发布得相当快，因此在他们的系统中发现漏洞的回报也相对变小。

这份漏洞数据来源于该公司基于2012年公布的9776个安全问题，针对421家厂商超过2500种产品所做的分析。它不同于早先在2月发布的报告，比如，NSS(网络安全系统)实验室基于国家漏洞数据库所发布的一份研究报告指出，他们的CVE(常见漏洞与披露)标识符统计出了5225个漏洞。

在前50最受欢迎的应用程序中，Google的Chrome浏览器、Mozilla的Firefox浏览器以及Apple的iTunes的漏洞总数占所有漏洞总数的绝大部分。根据Secunia公司的统计，Google针对其Chrome浏览器发布了291个补丁，Mozilla是257个，Apple是243个。

其他排名前50的程序——包括攻击者的最爱在内，如Oracle的Java，以及Adobe的Flash和Reader——的漏洞数量则均少于70个。在排名前50的最受欢迎程序中，有超过四分之三的漏洞被评估为“高危”，而超过5%的漏洞被标记为最高级别危险程度“极危”。

Secunia公司的产品管理总监在报告附带的声明中表示，各公司再也不能对非Microsoft出品的程序掉以轻心，因为它们是威胁IT基础设施和整体IT安全水平的主要漏洞来源。

总体来说，通过极大多数被曝光的漏洞都有对应的补丁这一事实可以看出，安全研究人员和软件开发者的工作正在改进。在2012年，软件开发者发布一个补丁，同一天会报道84%的漏洞，而在2011年，这个比例只有72%。

“那些已经投入精力的大供应商在发布补丁及与研究人员沟通方面正做得越来越好。”Kristensen说到，“虽然大多数排行前50的程序具有自动更新机制，但仍有一些程序缺少相应的功能。这样一来，许多公司和顾客就会暴露于恶意攻击之下，同时，其打补丁的速度也会减慢。

Secunia的数据还显示，攻击者将他们的绝大部分精力仅集中于最受欢迎的程序。该公司发现，在过去六年中，几乎所有的“零日”攻击(zero-day exploits，指针对未被披露漏洞的攻击)关注的都是排行前25的应用程序。此外，研究表明，发现并攻击漏洞，比利用那些针对已知漏洞的现有攻击需要更高层次的技能和知识。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友