根据IBM公司年度X-Force趋势和风险报告显示,2009年度软件漏洞的总体数量有所下降,但文本阅读器和多媒体应用软件中的漏洞数量却增长了50%。
补丁管理工具
IBM公司的X-Force研究和开发团队对风险漏洞进行了市场调研并收集网络攻击涉及的其他数据。2009年度,团队共记录了6604个新增漏洞,比2008年度减少了11%。
但IBM公司表示文本阅读器,编辑器和多媒体应用软件中的漏洞数量攀升了50%。IBM公司将这些漏洞归类为客户端漏洞,也包括哪些影响到浏览器和操作系统的漏洞。
在五中最常见的网站漏洞中,有三种是关于PDF文件的。攻击者利用Adobe的PDF软件的漏洞成功发动入侵,并通过垃圾邮件和恶意网站发动攻击。
IBM公司研究经历汤姆.克鲁斯表示"确实有那么一帮坏家伙专门把攻击目标对准这类软件"。
其他两款漏洞涉及Flash和可以允许用户在IE上查看微软办公自动化文档的ActiveX控件。
浏览器是客户端漏洞藏身最多的地方。2009年,Mozilla的火狐浏览器高风险漏洞的数量是IE浏览器的两倍,但是好的一方面是,到年底时所有的问题都打好了补丁。
超过一半的高风险客户端漏洞就影响到四家厂商:即微软,Adobe, Mozilla和苹果。从平均数来看,多数厂商对66%的明显漏洞打了补丁,苹果这方面表现是最差的,只给38%的漏洞打了补丁。
IBM公司还关注到了整体打补丁率。X-Force对Motion, the GNU community,思科,Adobe Systems和惠普的研究数据显示,到2009年底思科公司未打补丁的高风险漏洞数量仅为1%,其他公司没有未打补丁的漏洞。
此类未打补丁的漏洞比例最高的集中在Linux社区,比例高达53%,甲骨文公司达到38%,NOVELL为31%,IBM为27%。
X-Force还在关注网络应用软件漏洞,网站中潜在的危险环境会导致数据丢失和其他危害。
还有些不好的消息:大约67%的网络应用软件问题到2009年没有打补丁解决。交叉脚本漏洞导致SQL注入式攻击成为所发现的网络应用软件漏洞中排名第一的类型。
交叉脚本是一种允许运行本不该运行的脚本的攻击,这种攻击会被黑客利用来窃取信息。SQL注入式攻击会在验证输入命令时发动,而不是通过执行后端数据库的做法,这种方式也会泄露数据和导致其他恶意的后果。
克鲁斯表示,据IBM公司的跟踪调查,2008年度每天发现的SQL注入式攻击数量约为5000个。IBM公司注意到每天发生的SQL注入式攻击数量上升到了百万,这是因为攻击者利用自动化工具来寻找薄弱的网站。
很多时候黑客通过SQL注入将HTML插入到网页中,引诱用户去点击其他的网站。
克鲁斯介绍说,黑客还试图获取拥有固定用户群体的合法网站上的恶意链接,这样用户权就会被诱导到存在风险的网站。IBM公司称他们还发现,2009年恶意网站链接的数量急剧攀升。
尽管2009年所发现的SQL注入式攻击漏洞数量有所下降,但许多网络应用软件都是定制软件,因此他们比通用网络应用程序的问题更多。
克鲁斯称"鉴别和修正网络应用软件漏洞的重要性无论何时都是当务之急"。