随着时间的推移，虽然Java仍然属于安全问题的重灾区、但其重要程度却在不断下降。“在2013年下半年期间，FireEye公司的研究人员发现针对IE浏览器零日漏洞的攻击活动呈现出爆发性增长，其中一位攻击者甚至突破了特定得益群体经常光顾的某个重要网站——而这部分访问者才是最终攻击目标(如果他们的浏览器存在同样的漏洞，那么他们也就同时成为了受害者)。我们认为这些攻击活动的严重程度不容忽视，而且中心让IE浏览器成为2013年当中最为高危的零日攻击载体。”

想听点好消息?“这部分攻击活动主要针对旧版本IE，例如IE 7.0以及8.0。”

坏消息当然也是有的。FireEye公司“还发现一部分针对较新版本IE浏览器的零日攻击活动，外加一部分用于绕过地址空间布局随机化(简称ASLR)以及数据执行保护(简称DEP)的新型攻击技术——其中包括对释放后使用(简称UAF)以及信息泄露漏洞的利用。遗憾的是，这意味着即使是较新版本的IE浏览器同样有可能遭遇攻击，而且ASLR/DEP等传统安全保护手段本身也存在纰漏。”

当然，Adobe Acrobat与Flash同样是吸引攻击者眼球的好靶子。举例来说，“最近的两次攻击活动——一次指向Adobe Flash、另一次则指向Adobe Reader——利用的就是其中的关键性沙箱漏洞。另有一次攻击利用Windows XP内核中的安全漏洞规避了Adobe Reader的沙箱机制。第四个案例则将Flash案例漏洞嵌入到了微软Office文件当中，从而一口气绕开了沙箱机制——但其影响范围仅限于使用Office 2008的用户。”

说了这么多沉重的话题，下面来聊聊好的一面。零日攻击活动的普遍性正在逐步减弱。Secunia公司发现“在整体产品当中，78.6%的安全漏洞都会以每天一个补丁的速度被逐步修复;而在使用频率最高的五十款软件产品当中，这一修复比例更是高达86.1%。这意味着随着时间的推移软件安全性将日益改善，特别是相较于过去五年的情况而言——其中修复率最低的一年仅为61.6%。对于这种持续向好的安全形势，最合适的解释可能是研究人员开始不断将其安全漏洞报告与软件供应商进行共享，从而保证大多数情况下相关问题都能立刻得到解决。”

当然，如果大家不尽快为程序安装更新补丁的话，情况就没这么乐观了。总之，如果大家保证自己的软件始终保持在最新状态，那么当下的互联网安全性还是可以令人放心的。不过请务必注意这个重要前提——让软件保持在最终状态。

(责任编辑：)