BeyondTrust 发布的一份《2021 年度微软漏洞报告》指出,2020 年发现的微软漏洞数量创历史新高达到 1268 个,同比增长 48%。其中,Windows 是漏洞数最多的地方;存在 907 个问题,并且有 132 个是关键性漏洞。
该报告研究了微软在过去一年发布的安全公告(即补丁星期二)中的漏洞数据。数据显示,全世界每三个漏洞中就有一个是未修补的漏洞;而每天使用 Windows 操作系统的人数大约有 15 亿。"Windows 10 在发布时被吹捧为迄今为止'最安全的 Windows 操作系统',但它在去年仍然出现了 132 个关键性漏洞......取消管理员权限可以缓解这些关键漏洞中的 70%。"
报告中的一些其他主要发现还包括有:
- 在过去五年(2016-2020)中,报告的漏洞数量惊人地增长了 181%
- 一种在 2020 年缓解 56% 的所有微软关键性漏洞的简单方法
- “提权”首次成为第一大漏洞类别,占总数的 44%,是前一年的近三倍
对此,微软则暂未予置评。
报告指出,Windows Server 的关键性问题数量最多。2020 年,微软安全公告中总共报告了 902 个影响 Windows Server 的漏洞,相较上一年增加了 35%。而在具有严重评级的 138 个漏洞中,有 66% 可以通过删除管理员权限来缓解。
Microsoft Edge 和 Internet Explorer 8、9、10 和 11 在 2020 年总共发现了 92 个漏洞,其中 61 个(66%)被确定为关键性漏洞。报告指出,2020 年期间,IE8、9、10 和 11 中存在 27 个关键漏洞。取消管理员权限可以缓解其中的 24 个,消除 89% 的风险。Edge 的关键漏洞去年有所减少,从 86 个减少到 34 个。在这 34 个漏洞中,取消管理员权限可以缓解其中的 29 个(85%)。
在微软 Office 中,Excel、Word、PowerPoint、Visio、Publisher 和其他 Office 产品中存在 79 个漏洞。其中,只有 5 个被认为是关键性的;在所有的 Office 产品中,取消管理员权限就可以缓解其中的 4 个漏洞。
此外,特权提升漏洞的数量同比几乎增加了两倍。从 2019 年的 198 个增加到 2020 年的 559 个,占 2020 年所有微软漏洞的 44%,所占比例最大。报告称,56% 的微软关键漏洞可以通过删除管理员权限来缓解。“强制执行最小特权是解决这个问题的最快、最有效的措施。”
微软 MVP 和道德黑客 Sami Laiho 也表示,“取消管理员权限提供了很好的主动保护。我们需要保护执行恶意有效载荷的组件,特别是在浏览网页或阅读电子邮件的重要应用程序中。本报告中的数字证明,移除管理员权限将为你的 Outlook、Office、IE 和 Edge 提供保护。”
报告地址:https://www.beyondtrust.com/resources/whitepapers/microsoft-vulnerability-report
本文转自OSCHINA
本文标题:微软产品漏洞 2020 年创 1268 个新高,Windows 占 907 个
本文地址:https://www.oschina.net/news/146322/microsoft-product-vulnerabilities-2020