IBM:2009年软件漏洞下降 其他风险增多

据国外媒体报道,IBM发布的年度《X-Force Trend and Risk Report》显示,2009年软件漏洞的数量整体上有所下降,而文件阅读器及多媒体应用程序的故障数量增长50%。

IBM的 X-Force研发小组致力于研究漏洞公告,搜集其他基于网络攻击的数据。2009年这个小组记录了6601个漏洞,这一数量较2008年下降了近11%。

但IBM同时表示文件阅读器、编辑器及多媒体应用程序的漏洞增加了50%。IBM将这些漏洞归为客户端漏洞,这里面也包括那些影响浏览器及操作系统的漏洞。

经过对5个最受欢迎的网站进行调查,其中三个网站涉及到PDF。攻击者很容易的发现了Adobe's PDF软件的漏洞,并通过垃圾战及恶意网站链接对其发起攻击。

IBM网络安全系统部门的研究员汤姆·克罗斯(Tom Cross)认为,“可以肯定的是有一帮坏家伙在攻击那款软件”。

IBM表示,两外两个网站包含Flash及ActiveX控件漏洞,通过ActiveX控件可以在浏览器上查看MS文档。

IBM表示浏览器最容易出现客户端漏洞。2009年火狐浏览器出现高危漏洞的数量是IE的两倍,但令人欣喜的是到2009年年底这些漏洞都得到了修补。

IBM指出一半多的高危漏洞只是影响到四家用户:微软、Adobe、火狐和苹果。这几家公司平均漏洞修补比例达到66%,而苹果做的最差,仅仅为38%。

IBM也研究了整体修补率。 X-Force 指出RIM、GNU、思科系统、Adobe及惠普做的最好。到2009年底,思科未发布的高危漏洞补丁数量只占1%,而其他公司则发布全部漏洞补丁。

而做的最差的公司包括Linux、Oracle、Novell及IBM,其数量各占到53%、38%、31%和27%。

X-Force也对web应用程序的漏洞进行了调查,这些漏洞可能会导致数据丢失就其他危害。

调查结果并不乐观,到2009年底67%的web应用程序漏洞没有发布任何补丁。IBM表示跨站脚本执行(cross-site scripting)超过SQL资料隐码攻击成为网站应用程序第一大漏洞。

跨站脚本执行是攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料的一种攻击方式。当输入的指令得到生效而这一指令在后台数据库被执行时,SQL资料隐码攻击就会发生导致数据丢失。

克罗斯指出2008年IBM监控的SQL资料隐码攻击数量达到每天5000次。他还说由于攻击者利用自动搜索工具查找网站站点进行攻击,这一数值已上升至每天1百万次。

网站攻击者通过SQL资料隐码攻击在网页上插入HTML代码,这会导致网页浏览者进入另外一个网站。IBM还指出在2009年恶意网站链接的数量出现急剧增长。

尽管SQL资料隐码攻击的数量在2009年有所下降,但很多网站应用程序都是定制的,所以与常用的网站应用程序相比出的问题可能会更多。克罗斯表示,“目前鉴定并修复网站应用程序漏洞比任何时候都重要。”

时间: 2024-10-28 04:55:54

IBM:2009年软件漏洞下降 其他风险增多的相关文章

2009年漏洞数量总体下降 其他风险增多

IBM发布的年度<X- Force趋势和风险报告>显示,2009年软件漏洞的数量整体上有所下降,而文件阅读器及多媒体应用程序的故障数量增长50%.IBM的X-Force 研发小组致力于研究漏洞公告,搜集其他基于网络攻击的数据.2009年这个小组记录了6601个漏洞,这一数量较2008年下降了近11%. 但IBM同时表示文件阅读器.编辑器及多媒体应用程序的漏洞增加了50%.IBM 将这些漏洞归为客户端漏洞,这里面也包括那些影响浏览器及操作系统的漏洞.经过对5个最受欢迎的网站进行调查,其中三个网站

2009年上半年十种最严重的软件漏洞

[51CTO.com独家翻译]Apache.Citrix.IBM.SAP.Sun和Symantec连同其它公司共同选出了2009年上半年十种最严重的软件漏洞.根据检测到的软件漏洞的数量来看,近乎九成的web应用程序都带有可能导致敏感信息泄漏的安全漏洞.根据Cenzic在周一发布的<2009年1-2季度web应用安全趋势报告>称,今年上半年发现了3100多个安全漏洞,比2008年下半年发现的漏洞数量增加了10%以上.在所有这些安全漏洞中,其中78%为Web应用程序漏洞,这一比率与2008年的下半

软件漏洞让手机和移动网络面临被攻击者控制的风险

安全专家警告, 一个新发现的软件漏洞允许攻击者控制手机和移动网络基础设施.这个堆溢出漏洞存在于通信产品广泛使用的代码库中,涉及的通信产品包括手机塔无线电.路由 器.交换机和手机基带芯片.利用该漏洞比较困难,需要丰富的知识和大量的资源,但成功利用该漏洞的攻击者能在几乎所有这些设备上执行恶意代码.该代码库由 Objective Systems 开发,用于实现电话标准ASN.1.ASN.1 是今天移动电话系统的支架.发现漏洞的研究人员警告说,漏洞能被远程触发,不需要任何的验证.漏洞除了影响消费者的手机

不要奇怪 XP震网病毒缺陷或为2014最大软件漏洞

本文讲的是 不要奇怪 XP震网病毒缺陷或为2014最大软件漏洞,对于网络黑客来说,那些旧的软件缺陷仍然是最好的可供利用的漏洞.据<2014年惠普网络风险报告>,有惊人证据表明,去年最常利见的软件漏洞是早在2010年夏天就因超级工厂蠕虫病毒震网(Stuxnet)而臭名昭著的Windows XP .lnk缺陷. 这个在公共漏洞和暴露文档中标号为CVE-2010-2568的漏洞,自己就占了检测出的针对企业客户攻击漏洞的三分之一,超过早先Adobe PDF阅读器和PDF制作器Acrobat缺陷的11%

去年黑客用的未知软件漏洞数量增长一倍 创下纪录

黑客的技术正变得愈加先进 北京时间4月12日消息,据路透社报道,全球最大安全软件厂商赛门铁克发布的最新报告显示,去年黑客使用的此前未知软件漏洞数量增长了一倍以上,再次表明网络犯罪和网络间谍活动的技术正变得愈加先进. 计算机程序内的秘密漏洞尤其被犯罪团伙.执法部门和间谍看重,因为软件厂商在没有收到警告的情况下不会发布修复补丁. 赛门铁克周一发布报告称,2015年,54个这样的漏洞被发现,并被黑客部署,远高于2014年的24个.2013年的23个.过去10年,此类漏洞数量排在第四位的是2007年的1

Bash软件漏洞“Shellshock”对Mac电脑有影响吗?

  据路透社报道,苹果在周四晚间表示,绝大多数Mac电脑用户不会因为近期确认的Bash软件漏洞"Shellshock"而处于风险中.安全专家此前警告称,Shellshock将影响包括Mac OS X在内的操作系统. 苹果发言人比尔·埃文斯(Bill Evans)表示:"绝大多数OS X用户不会处于风险中."他表示,苹果既然出货了电脑,那么"默认情况下就是安全的",意味着不会易于受到远程攻击,除非用户自己将设备配置成"高级"Un

漏洞战争: 软件漏洞发展趋势

笔者个人认为APT并不是一项新技术或新概念,它只是对过去一些长期潜伏渗透的综合行为所作的概念总结.也就是说,在APT一词出现前,这类APT攻击行为就一直存在,只是刚好有人取此名词,后来被炒火了.特别是国外著名安全厂商FireEye的出现,更大程度地推动了APT概念的发展,因为FireEye每次都能及时地爆光外部正在利用的0day,以及各种APT攻击事件,甚至是各国之间的间谍行动.也正因为如此,后面很长一段时间,流行给各种漏洞或APT攻击事件取个特殊的名称,比如"心脏出血"."

2009开源软件发展论坛日程

第十三届中国国际软件博览会"(下称软博会),将于6月11日至13日在北京展览馆举办.本届软博会以"两化融合促进经济发展,软件与服务提升核心竞争力"为主题,同期将召开多场高端论坛,就软件服务业务热点问题及有关行业发展动态展开研讨. 以下为2009开源软件发展论坛日程: 主持人:共创软件联盟常务副秘书长 杨春燕 时间 内 容 嘉 宾 13:30-14:00注 册 领导致辞 14:00-14:05- 致辞工信部软件服务业司陈英副司长14:05-14:10- 致辞科技部高新司领导主

IBM大数据软件正在颠覆脑损伤治疗

近期,据英国<金融时报>的报道,IBM已经研发了数据分析技术,来改善创伤性脑损伤的治疗,目前IBM的科学家通过与美国加州大学洛杉矶分校里根医学中心的医生们奋力探索.通过分析患者巨大的数据流来预测这种导致认知能力损害甚至死亡的脑肿胀. IBM大数据的负责人 Nagui Halim 说:"医生们想知道我们是否能预测病人在未来8-10小时的情况".目前医院所使用的脑部传感器会在颅内压达到极为危险的程度时发出警报,这样医护人员会采取行动为病患消除肿胀--通常的做法是在脑部钻孔或者除