国外著名安全研究机构secunia发现,人们认为微软操作系统是主要攻击对象的错误观念导致很多企业不重视第三方应用程序安全问题,Secunia认为,软件供应商需要努力简化用户更新操作,让用户能够及时更新软件。
Secunia指出了软件程序供应商在软件更新方面的不足,并提醒用户注意及时更新第三方软件漏洞,因为第三方软件中存在的漏洞才是攻击者的攻击目标,而不是操作系统本身的漏洞。
Secunia 公司在其2010年上半年度报告(PDF格式)中表示,他们发现因为漏洞而受感染的普通最终用户的数量已经达到380,几乎是2009年全年感染数量 (420)的90%。Secunia表示,总体来看,有十家供应商(包括微软、苹果和甲骨文)需要为全部漏洞的38%负责任。具有最多漏洞的公司分别是 (按数量先后顺序):苹果、甲骨文、微软、惠普和Adobe系统。
对于计算机用户而言,未修复的第三方程序的威胁并没有减退。根据 Secunia调查发现,一名普通用户所安装的50个程序中,24个第三方程序中的漏洞是26个微软程序漏洞的三倍。
该报告指出,这种趋势的发生是因为,很多用户和企业“仍然认为微软操作系统和微软产品是主要攻击对象”,他们对第三方程序漏洞不太重视,这也导致第三方程序未能获得及时修复,从而成为攻击者的有效攻击目标。
“从这一点来看,下半年因为漏洞而受感染的用户肯定不会减少,虽然这只是猜测,” Secunia公司首席安全官Thomas Kristensen表示。
该公司还列出了2009年6月到2010年6月间漏洞最多的非微软程序,Firefox、Safari和Java JRE名列前茅。其他还包括谷歌Chrome、Adobe Reader、Acrobat、Adobe Flash Player、Adobe AIR、苹果iTunes 和Mozilla Thunderbird。
由于很多第三方程序缺乏简单易用的更新机制,并且很多用户缺乏经常更新安全补丁的意识,研究人员认为,第三方程序仍将成为攻击者的主要攻击目标。
“软件供应商需要确保他们能够及时有效地提供修复补丁,并且不需要太多用户操作就能够顺利部署,”Kristensen表示,“从长远来看,软件供应商需要编写更安全的软件,并且提供良好的补丁安装和更新机制。”