近九成的web應(yīng)用程序都存在嚴重漏洞
原創(chuàng)【51CTO.com獨家翻譯】Apache、Citrix、IBM、SAP、Sun和Symantec連同其它公司共同選出了2009年上半年十種最嚴重的軟件漏洞。根據(jù)檢測到的軟件漏洞的數(shù)量來看,近乎九成的web應(yīng)用程序都帶有可能導致敏感信息泄漏的安全漏洞。
根據(jù)Cenzic在周一發(fā)布的《2009年1~2季度web應(yīng)用安全趨勢報告》稱,今年上半年發(fā)現(xiàn)了3100多個安全漏洞,比2008年下半年發(fā)現(xiàn)的漏洞數(shù)量增加了10%以上。
在所有這些安全漏洞中,其中78%為Web應(yīng)用程序漏洞,這一比率與2008年的下半年相比有所下降,但是卻高于去年上半年的水平。SANS協(xié)會在九月份發(fā)表的“頂級信息安全威脅”報告中指出,超過60%的攻擊企圖都是針對因特網(wǎng)上的web應(yīng)用程序的。Cenzic的報告指出,對于這些Web應(yīng)用程序漏洞,百分之九十的漏洞是在商業(yè)Web應(yīng)用程序中發(fā)現(xiàn)的,同時有8%的漏洞存在于運行web應(yīng)用程序的瀏覽器中。
受十大安全漏洞影響的軟件制造商包括PHP、SAP、Sun、Citrix、Apache、F5 Networks、Symantec和IBM。據(jù)Cenzic稱,SQL注入和跨站腳本攻擊漏洞在所有Web攻擊中分別占據(jù)25%和17%的數(shù)量。
Cenzic的報告聲稱,在接受分析的web應(yīng)用程序中有87%的程序具有嚴重的安全漏洞,這些漏洞足以導致在交易過程中泄漏敏感或者機密的用戶信息。在2008年的第二季度,該數(shù)量為78%。
就瀏覽器的漏洞而言,F(xiàn)irefox和Safari的漏洞數(shù)量遙遙領(lǐng)先,而Google Chrome的漏洞數(shù)量則要少得多。該報告指出,Mozilla Firefox漏洞所占比例最高,為44%。令人驚訝的是,Safari瀏覽器的漏洞數(shù)量竟然也占到了35%,這可能由于iPhone Safari的漏洞數(shù)量也算進來的緣故。 Internet Explorer的漏洞數(shù)量為15%,位居第三,而Opera的漏洞數(shù)量僅占總漏洞數(shù)量的6%。
近年來,Mozilla的Firefox一直趨向于高過Internet Explorer的漏洞數(shù)量,不過Firefox的缺陷的修復(fù)速度要比Internet Explorer快得多。因此,Mozilla辯稱,人們應(yīng)當將用戶受漏洞威脅的天數(shù),而非漏洞的數(shù)量來作為衡量安全的尺度。
Firefox團隊的成員還表示,F(xiàn)irefox和Internet Explorer的安全性無法進行簡單的比較,因為Mozilla的安全處理是開放式的,而微軟的安全漏洞處理過程是封閉式的。
Mozilla公司的Johnathan Nightingale為上述言論發(fā)出了一封電子郵件進行注釋,“Cenzic的報告看起來好像是通過安全漏洞數(shù)量的總和來度量安全性的,而我們早就指出這種度量方式是有缺陷的”。 “甚至有跡象表明,微軟公司也開始注意這個問題:Steve Lipner最近在接受采訪時就說過,不能通過統(tǒng)計安全漏洞的數(shù)量來考量微軟公司SDL的成功。”微軟公司發(fā)言人沒有立即對此作出解釋,只是說其安全開發(fā)生命周期是降低了其產(chǎn)品中漏洞的數(shù)量的一個原因。
Nightingale還指出Cenzic的報告中瀏覽器缺陷很大程度上要歸咎于插件軟件,而Mozilla最近將推出一項插件檢查服務(wù)來改善插件的安全性。
【51CTO.COM 獨家翻譯,轉(zhuǎn)載請注明出處及作者!】
【編輯推薦】
