IBM:2009年软件漏洞下降 其他风险增多

安全
据国外媒体报道,IBM发布的年度《X-Force Trend and Risk Report》显示,2009年软件漏洞的数量整体上有所下降,而文件阅读器及多媒体应用程序的故障数量增长50%。

据国外媒体报道,IBM发布的年度《X-Force Trend and Risk Report》显示,2009年软件漏洞的数量整体上有所下降,而文件阅读器及多媒体应用程序的故障数量增长50%。

IBM的 X-Force研发小组致力于研究漏洞公告,搜集其他基于网络攻击的数据。2009年这个小组记录了6601个漏洞,这一数量较2008年下降了近11%。

但IBM同时表示文件阅读器、编辑器及多媒体应用程序的漏洞增加了50%。IBM将这些漏洞归为客户端漏洞,这里面也包括那些影响浏览器及操作系统的漏洞。

经过对5个最受欢迎的网站进行调查,其中三个网站涉及到PDF。攻击者很容易的发现了Adobe's PDF软件的漏洞,并通过垃圾战及恶意网站链接对其发起攻击。

IBM网络安全系统部门的研究员汤姆·克罗斯(Tom Cross)认为,“可以肯定的是有一帮坏家伙在攻击那款软件”。

IBM表示,两外两个网站包含Flash及ActiveX控件漏洞,通过ActiveX控件可以在浏览器上查看MS文档。

IBM表示浏览器最容易出现客户端漏洞。2009年火狐浏览器出现高危漏洞的数量是IE的两倍,但令人欣喜的是到2009年年底这些漏洞都得到了修补。

IBM指出一半多的高危漏洞只是影响到四家用户:微软、Adobe、火狐和苹果。这几家公司平均漏洞修补比例达到66%,而苹果做的最差,仅仅为38%。

IBM也研究了整体修补率。 X-Force 指出RIM、GNU、思科系统、Adobe及惠普做的最好。到2009年底,思科未发布的高危漏洞补丁数量只占1%,而其他公司则发布全部漏洞补丁。

而做的最差的公司包括Linux、Oracle、Novell及IBM,其数量各占到53%、38%、31%和27%。

X-Force也对web应用程序的漏洞进行了调查,这些漏洞可能会导致数据丢失就其他危害。

调查结果并不乐观,到2009年底67%的web应用程序漏洞没有发布任何补丁。IBM表示跨站脚本执行(cross-site scripting)超过SQL资料隐码攻击成为网站应用程序第一大漏洞。

跨站脚本执行是攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料的一种攻击方式。当输入的指令得到生效而这一指令在后台数据库被执行时,SQL资料隐码攻击就会发生导致数据丢失。

克罗斯指出2008年IBM监控的SQL资料隐码攻击数量达到每天5000次。他还说由于攻击者利用自动搜索工具查找网站站点进行攻击,这一数值已上升至每天1百万次。

网站攻击者通过SQL资料隐码攻击在网页上插入HTML代码,这会导致网页浏览者进入另外一个网站。IBM还指出在2009年恶意网站链接的数量出现急剧增长。

尽管SQL资料隐码攻击的数量在2009年有所下降,但很多网站应用程序都是定制的,所以与常用的网站应用程序相比出的问题可能会更多。克罗斯表示,“目前鉴定并修复网站应用程序漏洞比任何时候都重要。”

【编辑推荐】

  1. 在企业环境中使用蜜罐技术会有哪些风险?
  2. 2010年黑帽安全大会:IBM研究人员称思科后门依然洞开
  3. 网络基础服务商威瑞信公布2009年第四季度及全年财报
责任编辑:Oo小孩儿 来源: 赛迪网
相关推荐

2010-01-04 10:14:46

2009-03-11 09:08:29

LotusLotusLiveIBM

2009-02-10 11:47:48

IBMSOAWebSphere

2009-08-22 12:43:51

rationalrsc2009软件开发高峰论坛

2009-02-23 09:01:25

招聘3GIT职位

2015-03-30 09:54:57

2009-07-07 12:18:36

刀片服务器IBM服务器

2009-07-29 18:01:47

ibmdwRational

2020-06-21 14:04:28

漏洞网络安全攻击

2009-03-30 20:56:46

智慧的地球云计算IBM软件

2010-03-05 18:47:05

Gartner服务器出货量

2010-01-13 10:19:56

2009-02-01 08:49:24

2011-10-08 14:37:59

漏洞

2009-12-01 09:41:28

IT企业招聘

2009-12-14 19:59:05

IBM

2014-07-29 09:41:03

漏洞IEIE漏洞

2020-12-29 09:37:41

漏洞网络安全网络攻击

2009-01-11 09:01:48

2010-01-04 09:47:36

Linux服务器服务器软件
点赞
收藏

51CTO技术栈公众号