根據微軟的漏洞和威脅分析報告，HTML和Java利用在2011年下半年大幅上漲，這主要是由惱人的自動化工具包造成，它使攻擊相對容易實現。

此外，據微軟近段時間發布的微軟安全情報報告第12版，針對HTML弱點和Java漏洞的利用在2011年是主要攻擊。該分析使用的數據來自微軟公司安全軟件的用戶(主要是微軟的惡意軟件清除工具的用戶)，其中包括6億多用戶系統。

JS/Blacole，或者更通常被稱為黑洞開發工具包，被認為是大部分攻擊背后的主謀。該自動化攻擊工具包幫助攻擊者構建Zeus、Cutwail、 Spyeye和用于傳播垃圾郵件和惡意軟件的Carberp僵尸網絡。它還在另一份年度威脅報告中有詳細陳述，該報告由惠普DVLabs在前一段時間發布，發現常見Web應用漏洞的廣泛利用與黑洞開發工具包有關。

HTML和JavaScript是最常見的網站腳本語言，一直深受網絡犯罪分子們喜愛。一個盛行的攻擊類型還涉及惡意IFrame，這是一種與廣告軟件相關的攻擊技術。盡管在瀏覽器中添加了反跨站點腳本(XSS)的功能，攻擊者卻發現可以成功利用Java的弱點來引誘用戶下載惡意軟件。一份最近來自IBM的X-Force威脅研究小組的年度威脅報告支持了微軟的數據。研究發現，盡管瀏覽器漏洞修復在不斷增加，但攻擊者通過自動化工具包針對的是瀏覽器組件，而不是瀏覽器。

微軟可信賴計算部門的產品管理總監 Tim Rains表示，這些攻擊之所以成功，是因為企業里充斥著弱密碼和未修補漏洞。員工也容易受到社會工程技術的影響。關注高級持續性威脅(APT)或針對性的網絡攻擊對企業首席信息安全官們來說都是無用的，因為大多數人將會受到擁有廣泛基礎的自動化攻擊，Rains解釋道。

Rains說，“我們不認為APT或針對性的攻擊比(目前為止我們有時看到的)自動化攻擊更先進、更復雜。”

披露的漏洞很少

據微軟稱，比起2010年，整個行業在2011年披露的漏洞數量下降了11.8%。其中，高嚴重性漏洞在2011年上半年下降了31%，基本上延續了自 2010年上半年以來的下降速率。微軟的數據基于漏洞的嚴重性，采用了常見漏洞評分系統(Common Vulnerability Scoring System ，CVSS)的評分方法。

微軟的Rains表示，漏洞披露數量的整體減少可歸于多種因素。企業一直在改進他們的軟件開發過程，包括安全。“漏洞獵人”也在找出新的方式繼續他們的研究，導致一些人認為關鍵漏洞未報告。

“我們正試圖改變方法，從以前發現漏洞到開發新的緩解和防御程序，使得即使有漏洞，攻擊者也不能接觸到這些漏洞，”他說道。

在SearchSecurity.com網站最近的一次采訪中，微軟安全響應中心的高級安全戰略家Katie Moussouris介紹了漏洞披露是如何在改變的。直接與安全研究人員一起工作的Moussouris說，廠商已經變得更加敏感，并加大了與研究員的合作。據Moussouris估計，相對于浮出水面作為零日攻擊的漏洞，80%的漏洞微軟自己知道的。

“我們可以從研究社區(research community)中學到很多東西，包括微軟內部的和外部的，”Moussouris說道，“其中我們可以尋找會被利用的問題，與研究界的分享合作。”

在披露的漏洞中，應用漏洞占了絕大部分，在2011年下半年披露的所有漏洞中，它占71%，其中，應用漏洞和Web瀏覽器漏洞的數量都增加了。與此同時，2011年下半年中被披露的操作系統漏洞的數量下降超過了34%。微軟表示，至少自2003年以來，這是首次被披露的操作系統漏洞數量低于被披露的瀏覽器漏洞數量。

因此，微軟發布的安全更新也少了。在2011年，微軟安全響應中心共發布了100個安全公告，解決確認了236個個人的公共漏洞問題( CVE，Common Vulnerabilities and Exposures)，它們比起2010年，其數量分別減少了7%和6%。