微軟產品漏洞 2020 年創 1268 個新高,Windows 占 907 個
BeyondTrust 發布的一份《2021 年度微軟漏洞報告》指出,2020 年發現的微軟漏洞數量創歷史新高達到 1268 個,同比增長 48%。其中,Windows 是漏洞數最多的地方;存在 907 個問題,并且有 132 個是關鍵性漏洞。
該報告研究了微軟在過去一年發布的安全公告(即補丁星期二)中的漏洞數據。數據顯示,全世界每三個漏洞中就有一個是未修補的漏洞;而每天使用 Windows 操作系統的人數大約有 15 億。"Windows 10 在發布時被吹捧為迄今為止'最安全的 Windows 操作系統',但它在去年仍然出現了 132 個關鍵性漏洞......取消管理員權限可以緩解這些關鍵漏洞中的 70%。"
報告中的一些其他主要發現還包括有:
- 在過去五年(2016-2020)中,報告的漏洞數量驚人地增長了 181%
- 一種在 2020 年緩解 56% 的所有微軟關鍵性漏洞的簡單方法
- “提權”首次成為第一大漏洞類別,占總數的 44%,是前一年的近三倍
對此,微軟則暫未予置評。
報告指出,Windows Server 的關鍵性問題數量最多。2020 年,微軟安全公告中總共報告了 902 個影響 Windows Server 的漏洞,相較上一年增加了 35%。而在具有嚴重評級的 138 個漏洞中,有 66% 可以通過刪除管理員權限來緩解。
Microsoft Edge 和 Internet Explorer 8、9、10 和 11 在 2020 年總共發現了 92 個漏洞,其中 61 個(66%)被確定為關鍵性漏洞。報告指出,2020 年期間,IE8、9、10 和 11 中存在 27 個關鍵漏洞。取消管理員權限可以緩解其中的 24 個,消除 89% 的風險。Edge 的關鍵漏洞去年有所減少,從 86 個減少到 34 個。在這 34 個漏洞中,取消管理員權限可以緩解其中的 29 個(85%)。
在微軟 Office 中,Excel、Word、PowerPoint、Visio、Publisher 和其他 Office 產品中存在 79 個漏洞。其中,只有 5 個被認為是關鍵性的;在所有的 Office 產品中,取消管理員權限就可以緩解其中的 4 個漏洞。
此外,特權提升漏洞的數量同比幾乎增加了兩倍。從 2019 年的 198 個增加到 2020 年的 559 個,占 2020 年所有微軟漏洞的 44%,所占比例最大。報告稱,56% 的微軟關鍵漏洞可以通過刪除管理員權限來緩解。“強制執行最小特權是解決這個問題的最快、最有效的措施。”
微軟 MVP 和道德黑客 Sami Laiho 也表示,“取消管理員權限提供了很好的主動保護。我們需要保護執行惡意有效載荷的組件,特別是在瀏覽網頁或閱讀電子郵件的重要應用程序中。本報告中的數字證明,移除管理員權限將為你的 Outlook、Office、IE 和 Edge 提供保護。”
報告地址:https://www.beyondtrust.com/resources/whitepapers/microsoft-vulnerability-report
本文轉自OSCHINA
本文標題:微軟產品漏洞 2020 年創 1268 個新高,Windows 占 907 個
本文地址:https://www.oschina.net/news/146322/microsoft-product-vulnerabilities-2020
