当前位置:主页>资 讯>安全动态>

漏洞数量有望再次突破历史记录 零日下降 虚拟化激增

“零日计划”( ZDI:Zero Day Initiative )2018年上半年收到的漏洞报告数量环比增长了33%,有望打破2017“史上最繁忙漏洞年”记录。



 

从年初到现在,ZDI已向提交漏洞的研究人员支付了超过100美元的漏洞奖金。回顾2018年上半年,ZDI发布了破纪录的600个漏洞警报;而去年同期,这个数字是451。尽管2017年被称为“史上最繁忙漏洞年”,33%的漏洞报告增幅还是让2018年看起来有打破2017年记录的趋势。

虽然报告的漏洞数量上升,发布的漏洞警报也比去年同期多了很多,但零日漏洞报告却环比下降了42%。

  微软、苹果、Adobe、SCADA、虚拟化软件漏洞趋势

  ZDI指出了下列几大“有趣”趋势:

微软:微软相关漏洞比去年同期增长了惊人的121%。其中一大部分都是浏览器相关,显示出IE、Edge和 Chakra Core 的运行时编译(JIT)漏洞是如何变成2018年的释放后使用(UAF)漏洞的。考虑到微软今年上半年仅比去年同期多发布了8%的补丁,ZDI认为,漏洞报告数量的上升,表明的是微软产品的增多,而非产品中漏洞的增加。ZDI手里现在还握有其他39个等待补丁推出的微软漏洞。

苹果:苹果产品漏洞报告数量比去年同期下降了28.5%。但这不过是一种假象。ZDI称,苹果漏洞报告数量较少的结果,并没有考虑进2017年Pwn2Own上曝出的多个苹果漏洞。如果去掉2017年Pwn2Own上收获的漏洞,那么苹果今年上半年漏洞报告数量就环比增长了36%。而且,ZDI手中等待修复的30个苹果安全漏洞也印证了这一点。

SCADA:SCADA漏洞报告数量简直就是激增,占据了上半年ZDI收到漏洞提交总数的30%。普罗大众并没有意识到SCADA产品也是IoT控制的一种,可以造成的影响远不仅止基础设施和制造业。SCADA漏洞的猛增,源自Advantech、Delta Industrial 和Omron产品中被上报的漏洞。

ZDI发布了132个Advantech安全警报,占今年截至目前全部漏洞报告的22%。Delta advisories 安全警报26个,Omron安全警报22个,各自贡献了安全警报总数的4%。

  Adobe:2018年1月到6月,Adobe漏洞报告数相比去年同期仅增加了2个。换句话说,ZDI发布了94个Adobe安全警报,占今年安全警报总数的16%,而去年同期这个占比是20%。Adobe漏洞份额上减少的这4%,贡献到了SCADA漏洞增加的那30%中。

虚拟化软件:与安全研究人员在虚拟化软件中追捕漏洞有关的另一趋势。此类漏洞报告增幅达到了令人难以置信的275%!今年Pwn2Own上曝出的 Oracle VirtualBox 漏洞,再加上ZDI收到的VMware漏洞报告,充分表明了虚拟化产品安全研究方兴未艾。

所有迹象都指向了漏洞研究的持续成长,以及2018年下半年新漏洞报告率的增加。ZDI指出,难以预测2018年剩下的时光会是个什么情况,但如果以2017作为参考,未来半年可能会更忙于应付层出不穷的漏洞。

 

(责任编辑:安博涛)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

D-Link数字签名证书遭窃,反倒成了黑客的“

D-Link数字签名证书遭窃,反倒成了黑客的“通行证”

数字签名的出现,曾大大加强了计算机应用使用的安全性,其复杂、独特的加密方式使得证...[详细]

2018年(迄今为止)最严重的6起内部攻击事件

2018年(迄今为止)最严重的6起内部攻击事件

什么是内部威胁? 跟踪者、欺诈者、破坏者以及恶意内部人员都会对企业造成不可估量的...[详细]

安全头条(20180701-20180707)

安全头条(20180701-20180707)

焦点 1. 看360安全团队揭露国外网络间谍组织:蓝宝菇。 时政 1. 美国众议院外交事务委...[详细]

恶意软件“剪贴板劫持者”正监控230万个比

恶意软件“剪贴板劫持者”正监控230万个比特币地址

背景介绍 网络犯罪分子千方百计地寻求非法行为来获取比特币。从黑交易平台到勒索软件...[详细]

360捕获持续8年针对我国的网络间谍组织

360捕获持续8年针对我国的网络间谍组织

近日,360追日团队(Helios Team)、360安全监测与响应中心与360威胁情报中心发布《蓝宝...[详细]

返回首页 返回顶部