Cenzic公司的最新报告显示,2009年上半年,Mozilla Firefox漏洞占据了浏览器漏洞总量的44%,多过任何其他的浏览器。
Apple的Safari浏览器位列第二,其漏洞量占有率为35%,其后是IE(15%)。总部位于加州的渗透测试厂商Santa Clara说,Safari漏洞是由基于Apple iPhone浏览器的问题引发的。Cenzic说浏览器漏洞占所有Web漏洞量的8%。
Cenzic在2009年上半年收集了基于Web的漏洞数据,浏览器的排名就是由研究审查这些数据得出的bug数来决定的。这家公司称其识别出的3100个漏洞通告中78%是Web漏洞。
专家警告称浏览器厂商修复的漏洞的数目跟其浏览器的安全性之间没有必然的联系。例如,Mozilla可能比其他的浏览器厂商在报告和修复漏洞方面更主动。
Mozilla的安全性和可用性专家Johnathan Nightingale说统计bug数是在浪费时间。Nightingale提醒了一个不容忽视的事实:Mozilla能够在五六天的时间内向其90%的用户群提供修复补丁,这是许多其他的浏览器厂商所无法匹敌的。
Nightingale说:“只有在每个厂商都能够公开其修复的所有bug信息,并且每个安全补丁都能够很好地记录在案的情况下,才会产生比较合理的评估。然而有些厂商并没有这么做,或者他们会通过将几个补丁一起打成包来减轻漏洞的数量,这样以来他们在这些报告中就会显得出色。”
Nightingale说,更重要的事实是,许多用户使用过期的第三方浏览器控件,这让攻击者有机可乘。Mozillla在十月启动了一种工具,它可以扫描Firefox以检查过期的插件。
从2008年的下半年开始Web应用程序的漏洞数目增长量超过了10%。这些漏洞存在于Web服务器、应用程序、Web浏览器、插件和ActiveX控件之中。Cenzic说,信息泄露、跨站点脚本(XSS)错误以及不当的身份认证bugs是许多Web应用程序的大问题。
Cenzic的报告称:“现在可购买到的应用程序的公开漏洞中,SQL注入、XSS再次成为最常见的漏洞,这就是为什么在2009年上半年大多数的攻击都是对这两种漏洞的攻击,这不是巧合。”
Cenzic说,信息泄露错误占据了Cenzic测试发现的漏洞的87%。通过透漏用户敏感数据的Web应用程序或开发人员遗留的HTML注释,黑客能够收集数据并试图攻击公司的防线。XSS错误占据已知漏洞的73%。这些漏洞使攻击者能够向应用程序注入恶意代码,通过内容欺骗或者劫持合法网站来攻击访问者。
Cenzic说,身份认证漏洞也在增长,占据了Cenzic 发现漏洞总量的56%。这些错误允许用户在没有提供正确认证的情况下登录。有时,这些错误会泄露合法的用户名和密码,让黑客可以轻易地获取对系统的访问。
该公司还举了一些黑客攻击常见Web漏洞的著名攻击事件。六月份,黑客对HSBC和Barclays银行网站发起了XSS攻击。五月份,土耳其黑客通过SQL注入攻击的方式,获取了美国军方Web服务器的底层访问权限,将网站的页面重定向到抗议气候变化的网页。
报告中指出:“从过去两年间发生的一些非常知名的攻击中就可以很轻易地看出,许多潜在的攻击在几个月甚至几年之后才被查出,有些甚至是偶然间被发现的。我们相信,在被通报的所有攻击之外,还有更多数以百计的攻击未被发现,因为许多公司在被黑客攻击的时候并不知情。”
【编辑推荐】