软件漏洞难修复吗?
年度FLexera漏洞审查报告显示,全部安全漏洞当中有81%已经拥有与之匹配的修复补丁,但多数常见软件项目的补丁安装率却相当低下。
作为一家面向应用程序开发商与企业客户的软件安全漏洞管理解决方案厂商,Flexera Software公司研究团队整理的报告《2017年安全漏洞审查》,其汇总了关于现有安全漏洞与可用补丁的全面数据,并且将各安全漏洞威胁与IT基础设施相对应,同时对50款个人PC设备上最具人气的应用程序进行了安全漏洞状况调查。
2017年安全漏洞审查报告:可用的补丁在不断增加,用户却不安装 - E安全
安全漏洞已然成为导致安全问题的一大重要根源,例如可能成为黑客的有效切入点的软件错误,黑客利用该漏洞能渗透进IT系统。
2016年,Secunia研究团队在来自246家供应商的2136款产品中发现了总计17147项安全漏洞。存在如此广泛的漏洞,证明IT团队将很难在没有自动化方案配合的情况下成功对抗种种潜在安全威胁。对于以此为基础建立业务体系的企业而言,IT团队必须对在用的所有应用程序进行全面审查,同时制定政策及规程以确保一切已被披露的安全漏洞皆得到有效控制。
好消息是,目前大多数被披露的安全漏洞其厂商都能够快速发布相应的修复补丁。2016年年内,全部安全漏洞中的81%与受到漏洞影响的最具人气软件产品TOP 50中的92.5%都能够在披露的当天获得修复补丁。
修补漏洞不仅要厂商发布补丁,还需用户配合
但有明确的迹象表明目前的软件供应链相当糟糕。要真正起到作用,还需用户积极配合加以安装。软件安全漏洞管理方案旨在帮助企业发现自身环境内存在安全漏洞的应用程序及系统,并通过集成化补丁管理机制进行优先级排序与问题处理。
Flexera Software公司Secunia研究团队负责人Kasper Lindgaard解释称:
“软件供应链在行业当中处于非常独特的位置。软件开发商往往会发布大量包含有可利用漏洞的产品,并由此给客户带来潜在风险。因此,软件买家需要对软件采购、管理与保护采取谨慎的心态。大多数漏洞在被披露之后,很快即会有对应安全补丁推出,企业需要充分利用这方面资源,同时以积极的态度及时安装修复补丁。”
例如,PDF阅读器。未安装修复补丁的PDF阅读器占很高比例。
举例来说,Adobe Reader拥有广泛的用户,目前在TOP 50人气软件排名第31位,40%的个人计算机安装了这款产品。然而正是因为用户众多,尽管已经发布了大量可用补丁,仍然存在很多未被修补的漏洞。据统计,2016年75%的Adobe Reader个人用户并未使用已修复版本。
补丁安装率与0day漏洞
《2017年安全漏洞审查》报告还发表了另一些值得关注的结论:
2016年出现了22项0day漏洞,略低于2015年;个人电脑平台上最具人气的TOP 50应用程序当中,微软与非微软产品间的漏洞分布比例为22.%与77.5%。大多数(81%)安全漏洞在漏洞发布当天即提供修复补丁。然而在30天后,仍然只有不足2%的客户安装安全补丁。特别是对于需要管理大规模端口的企业(包括不会定期接入企业网络的设备),就需要利用多种软件安全漏洞管理方案以确保各设备及系统得到理想保护。《2017年安全漏洞审查》报告中的重要结论涵盖全部应用程序的总体统计数字
- 2016年,Secunia研究团队从来自246家供应商的2136款产品中发现总计17147项安全漏洞。
- 2016年,全部产品中81%的安全漏洞能够在披露当天即获得对应的修复补丁。
- 2016年共发现22项零日漏洞,比2015年减少了4项。
- 2016年报告的3416项安全漏洞中,有18%被评为“危险”,而0.5%被评为“高危”。
- 2016年,五大高人气网络浏览器共曝出713项安全漏洞,其分别为谷歌Chrome、Mozilla火狐、IE、Opera以及Safari。这一数字较2015年降低27.5%。
- 2016年,五大高人气PDF阅读器中总计发现289项安全漏洞,其分别为Adobe Reader、Foxit Reader、PDF-XChange Viewer、Sumatra PDF以及 Nitro PDF Reader。
个人PC设备上最具人气的50款应用程序
- 在个人PC设备上最具人气的TOP 50款应用程序当中,仅25款产品内就总计发现1626项安全漏洞。
- 2016年个人PC设备上最具人气的TOP 50款应用程序当中,Windows 7操作系统中发现的9%安全漏洞,微软应用程序内13.5%的安全漏洞,5%的安全漏洞影响非微软应用程序。
- 只占TOP 50款最具人气应用程序29%的15款非微软应用程序,却贡献了全部安全漏洞中的77.5%。微软应用程序(包括Windows 7操作系统)在TOP 50款最具人气应用程序中占71%,但安全漏洞数量却只占22.5%。
- 过去五年当中,TOP 50名高人气应用程序中非微软应用程序中存在的安全漏洞占这部分漏洞总量的78%。
- 2016年,TOP 50位最具人气应用程序中的全部安全漏洞总量为1626项,较过去五年的平均水平高15%。其中大部分安全漏洞被Secunia研究团队评为“危险”(65%)或者“高危”(7.5%)。
- 2016年,最具人气的TOP 50款应用程序中的全部安全漏洞有5%在披露当天即发布了相关修复补丁。
关于《2017年安全漏洞审查》报告。
这份年度安全漏洞审查报告来自Flexera Software公司Secunia研究团队立足漏洞层面对软件安全演进态势进行的研究。其中涵盖了安全漏洞与可用修复补丁、指向IT基础设施之安全威胁以及个人PC设备上最具上气之TOP 50款应用程序内安全漏洞的全球性数据。
从前50大软件组合中确定50款最具人气的应用程序。为了评估各端口的实际表现,我们对同一端口内常见的各类产品进行了分析。在此项分析中,我们对“Personal Software Inspector(个人软件检测器)”用户计算机内的统计出的75款程序进行扫描。立足于不同国家与不同地区,其安装的应用程序亦在种类及具体版本上存在区别。
为了明确起见,我们选择有代表性的软件安装组合内的 50款最常见应用程序。这50款应用程序中包含35款微软应用程序与15款非微软应用程序。
Secunia具体统计方法说明
安全漏洞管理领域的各研究机构往往会采取不同方法对安全漏洞进行计数。Secunia研究团队对每款产品中出现的安全漏洞进行计数,并借此反映客户所需要以保障其环境安全性的信息级别,即验证特定安全漏洞项所影响到的全部产品。
本文转自d1net(转载)
