Firefox和Safari被列為漏洞高發瀏覽器
Cenzic公司的最新報告顯示,2009年上半年,Mozilla Firefox漏洞占據了瀏覽器漏洞總量的44%,多過任何其他的瀏覽器。
Apple的Safari瀏覽器位列第二,其漏洞量占有率為35%,其后是IE(15%)。總部位于加州的滲透測試廠商Santa Clara說,Safari漏洞是由基于Apple iPhone瀏覽器的問題引發的。Cenzic說瀏覽器漏洞占所有Web漏洞量的8%。
Cenzic在2009年上半年收集了基于Web的漏洞數據,瀏覽器的排名就是由研究審查這些數據得出的bug數來決定的。這家公司稱其識別出的3100個漏洞通告中78%是Web漏洞。
專家警告稱瀏覽器廠商修復的漏洞的數目跟其瀏覽器的安全性之間沒有必然的聯系。例如,Mozilla可能比其他的瀏覽器廠商在報告和修復漏洞方面更主動。
Mozilla的安全性和可用性專家Johnathan Nightingale說統計bug數是在浪費時間。Nightingale提醒了一個不容忽視的事實:Mozilla能夠在五六天的時間內向其90%的用戶群提供修復補丁,這是許多其他的瀏覽器廠商所無法匹敵的。
Nightingale說:“只有在每個廠商都能夠公開其修復的所有bug信息,并且每個安全補丁都能夠很好地記錄在案的情況下,才會產生比較合理的評估。然而有些廠商并沒有這么做,或者他們會通過將幾個補丁一起打成包來減輕漏洞的數量,這樣以來他們在這些報告中就會顯得出色。”
Nightingale說,更重要的事實是,許多用戶使用過期的第三方瀏覽器控件,這讓攻擊者有機可乘。Mozillla在十月啟動了一種工具,它可以掃描Firefox以檢查過期的插件。
從2008年的下半年開始Web應用程序的漏洞數目增長量超過了10%。這些漏洞存在于Web服務器、應用程序、Web瀏覽器、插件和ActiveX控件之中。Cenzic說,信息泄露、跨站點腳本(XSS)錯誤以及不當的身份認證bugs是許多Web應用程序的大問題。
Cenzic的報告稱:“現在可購買到的應用程序的公開漏洞中,SQL注入、XSS再次成為最常見的漏洞,這就是為什么在2009年上半年大多數的攻擊都是對這兩種漏洞的攻擊,這不是巧合。”
Cenzic說,信息泄露錯誤占據了Cenzic測試發現的漏洞的87%。通過透漏用戶敏感數據的Web應用程序或開發人員遺留的HTML注釋,黑客能夠收集數據并試圖攻擊公司的防線。XSS錯誤占據已知漏洞的73%。這些漏洞使攻擊者能夠向應用程序注入惡意代碼,通過內容欺騙或者劫持合法網站來攻擊訪問者。
Cenzic說,身份認證漏洞也在增長,占據了Cenzic 發現漏洞總量的56%。這些錯誤允許用戶在沒有提供正確認證的情況下登錄。有時,這些錯誤會泄露合法的用戶名和密碼,讓黑客可以輕易地獲取對系統的訪問。
該公司還舉了一些黑客攻擊常見Web漏洞的著名攻擊事件。六月份,黑客對HSBC和Barclays銀行網站發起了XSS攻擊。五月份,土耳其黑客通過SQL注入攻擊的方式,獲取了美國軍方Web服務器的底層訪問權限,將網站的頁面重定向到抗議氣候變化的網頁。
報告中指出:“從過去兩年間發生的一些非常知名的攻擊中就可以很輕易地看出,許多潛在的攻擊在幾個月甚至幾年之后才被查出,有些甚至是偶然間被發現的。我們相信,在被通報的所有攻擊之外,還有更多數以百計的攻擊未被發現,因為許多公司在被黑客攻擊的時候并不知情。”
【編輯推薦】
