IBM:2009年軟件漏洞下降 其他風險增多
據國外媒體報道,IBM發布的年度《X-Force Trend and Risk Report》顯示,2009年軟件漏洞的數量整體上有所下降,而文件閱讀器及多媒體應用程序的故障數量增長50%。
IBM的 X-Force研發小組致力于研究漏洞公告,搜集其他基于網絡攻擊的數據。2009年這個小組記錄了6601個漏洞,這一數量較2008年下降了近11%。
但IBM同時表示文件閱讀器、編輯器及多媒體應用程序的漏洞增加了50%。IBM將這些漏洞歸為客戶端漏洞,這里面也包括那些影響瀏覽器及操作系統的漏洞。
經過對5個最受歡迎的網站進行調查,其中三個網站涉及到PDF。攻擊者很容易的發現了Adobe's PDF軟件的漏洞,并通過垃圾戰及惡意網站鏈接對其發起攻擊。
IBM網絡安全系統部門的研究員湯姆·克羅斯(Tom Cross)認為,“可以肯定的是有一幫壞家伙在攻擊那款軟件”。
IBM表示,兩外兩個網站包含Flash及ActiveX控件漏洞,通過ActiveX控件可以在瀏覽器上查看MS文檔。
IBM表示瀏覽器最容易出現客戶端漏洞。2009年火狐瀏覽器出現高危漏洞的數量是IE的兩倍,但令人欣喜的是到2009年年底這些漏洞都得到了修補。
IBM指出一半多的高危漏洞只是影響到四家用戶:微軟、Adobe、火狐和蘋果。這幾家公司平均漏洞修補比例達到66%,而蘋果做的最差,僅僅為38%。
IBM也研究了整體修補率。 X-Force 指出RIM、GNU、思科系統、Adobe及惠普做的最好。到2009年底,思科未發布的高危漏洞補丁數量只占1%,而其他公司則發布全部漏洞補丁。
而做的最差的公司包括Linux、Oracle、Novell及IBM,其數量各占到53%、38%、31%和27%。
X-Force也對web應用程序的漏洞進行了調查,這些漏洞可能會導致數據丟失就其他危害。
調查結果并不樂觀,到2009年底67%的web應用程序漏洞沒有發布任何補丁。IBM表示跨站腳本執行(cross-site scripting)超過SQL資料隱碼攻擊成為網站應用程序第一大漏洞。
跨站腳本執行是攻擊者利用網站程序對用戶輸入過濾不足,輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼,從而盜取用戶資料的一種攻擊方式。當輸入的指令得到生效而這一指令在后臺數據庫被執行時,SQL資料隱碼攻擊就會發生導致數據丟失。
克羅斯指出2008年IBM監控的SQL資料隱碼攻擊數量達到每天5000次。他還說由于攻擊者利用自動搜索工具查找網站站點進行攻擊,這一數值已上升至每天1百萬次。
網站攻擊者通過SQL資料隱碼攻擊在網頁上插入HTML代碼,這會導致網頁瀏覽者進入另外一個網站。IBM還指出在2009年惡意網站鏈接的數量出現急劇增長。
盡管SQL資料隱碼攻擊的數量在2009年有所下降,但很多網站應用程序都是定制的,所以與常用的網站應用程序相比出的問題可能會更多。克羅斯表示,“目前鑒定并修復網站應用程序漏洞比任何時候都重要。”
【編輯推薦】
