【51CTO.com独家翻译】Apache、Citrix、IBM、SAP、Sun和Symantec连同其它公司共同选出了2009年上半年十种最严重的软件漏洞。根据检测到的软件漏洞的数量来看,近乎九成的web应用程序都带有可能导致敏感信息泄漏的安全漏洞。
根据Cenzic在周一发布的《2009年1~2季度web应用安全趋势报告》称,今年上半年发现了3100多个安全漏洞,比2008年下半年发现的漏洞数量增加了10%以上。
在所有这些安全漏洞中,其中78%为Web应用程序漏洞,这一比率与2008年的下半年相比有所下降,但是却高于去年上半年的水平。SANS协会在九月份发表的“顶级信息安全威胁”报告中指出,超过60%的攻击企图都是针对因特网上的web应用程序的。Cenzic的报告指出,对于这些Web应用程序漏洞,百分之九十的漏洞是在商业Web应用程序中发现的,同时有8%的漏洞存在于运行web应用程序的浏览器中。
受十大安全漏洞影响的软件制造商包括PHP、SAP、Sun、Citrix、Apache、F5 Networks、Symantec和IBM。据Cenzic称,SQL注入和跨站脚本攻击漏洞在所有Web攻击中分别占据25%和17%的数量。
Cenzic的报告声称,在接受分析的web应用程序中有87%的程序具有严重的安全漏洞,这些漏洞足以导致在交易过程中泄漏敏感或者机密的用户信息。在2008年的第二季度,该数量为78%。
就浏览器的漏洞而言,Firefox和Safari的漏洞数量遥遥领先,而Google Chrome的漏洞数量则要少得多。该报告指出,Mozilla Firefox漏洞所占比例最高,为44%。令人惊讶的是,Safari浏览器的漏洞数量竟然也占到了35%,这可能由于iPhone Safari的漏洞数量也算进来的缘故。 Internet Explorer的漏洞数量为15%,位居第三,而Opera的漏洞数量仅占总漏洞数量的6%。
近年来,Mozilla的Firefox一直趋向于高过Internet Explorer的漏洞数量,不过Firefox的缺陷的修复速度要比Internet Explorer快得多。因此,Mozilla辩称,人们应当将用户受漏洞威胁的天数,而非漏洞的数量来作为衡量安全的尺度。
Firefox团队的成员还表示,Firefox和Internet Explorer的安全性无法进行简单的比较,因为Mozilla的安全处理是开放式的,而微软的安全漏洞处理过程是封闭式的。
Mozilla公司的Johnathan Nightingale为上述言论发出了一封电子邮件进行注释,“Cenzic的报告看起来好像是通过安全漏洞数量的总和来度量安全性的,而我们早就指出这种度量方式是有缺陷的”。 “甚至有迹象表明,微软公司也开始注意这个问题:Steve Lipner最近在接受采访时就说过,不能通过统计安全漏洞的数量来考量微软公司SDL的成功。”微软公司发言人没有立即对此作出解释,只是说其安全开发生命周期是降低了其产品中漏洞的数量的一个原因。
Nightingale还指出Cenzic的报告中浏览器缺陷很大程度上要归咎于插件软件,而Mozilla最近将推出一项插件检查服务来改善插件的安全性。
【51CTO.COM 独家翻译,转载请注明出处及作者!】
【编辑推荐】
