2017年安全漏洞审查报告:安全补丁在不断增加,用户却不安装

简介:

软件漏洞难修复吗?
年度FLexera漏洞审查报告显示,全部安全漏洞当中有81%已经拥有与之匹配的修复补丁,但多数常见软件项目的补丁安装率却相当低下。

作为一家面向应用程序开发商与企业客户的软件安全漏洞管理解决方案厂商,Flexera Software公司研究团队整理的报告《2017年安全漏洞审查》,其汇总了关于现有安全漏洞与可用补丁的全面数据,并且将各安全漏洞威胁与IT基础设施相对应,同时对50款个人PC设备上最具人气的应用程序进行了安全漏洞状况调查。

2017年安全漏洞审查报告:可用的补丁在不断增加,用户却不安装 - E安全

安全漏洞已然成为导致安全问题的一大重要根源,例如可能成为黑客的有效切入点的软件错误,黑客利用该漏洞能渗透进IT系统。

2016年,Secunia研究团队在来自246家供应商的2136款产品中发现了总计17147项安全漏洞。存在如此广泛的漏洞,证明IT团队将很难在没有自动化方案配合的情况下成功对抗种种潜在安全威胁。对于以此为基础建立业务体系的企业而言,IT团队必须对在用的所有应用程序进行全面审查,同时制定政策及规程以确保一切已被披露的安全漏洞皆得到有效控制。

好消息是,目前大多数被披露的安全漏洞其厂商都能够快速发布相应的修复补丁。2016年年内,全部安全漏洞中的81%与受到漏洞影响的最具人气软件产品TOP 50中的92.5%都能够在披露的当天获得修复补丁。

修补漏洞不仅要厂商发布补丁,还需用户配合
但有明确的迹象表明目前的软件供应链相当糟糕。要真正起到作用,还需用户积极配合加以安装。软件安全漏洞管理方案旨在帮助企业发现自身环境内存在安全漏洞的应用程序及系统,并通过集成化补丁管理机制进行优先级排序与问题处理。

Flexera Software公司Secunia研究团队负责人Kasper Lindgaard解释称:

“软件供应链在行业当中处于非常独特的位置。软件开发商往往会发布大量包含有可利用漏洞的产品,并由此给客户带来潜在风险。因此,软件买家需要对软件采购、管理与保护采取谨慎的心态。大多数漏洞在被披露之后,很快即会有对应安全补丁推出,企业需要充分利用这方面资源,同时以积极的态度及时安装修复补丁。”
例如,PDF阅读器。未安装修复补丁的PDF阅读器占很高比例。

举例来说,Adobe Reader拥有广泛的用户,目前在TOP 50人气软件排名第31位,40%的个人计算机安装了这款产品。然而正是因为用户众多,尽管已经发布了大量可用补丁,仍然存在很多未被修补的漏洞。据统计,2016年75%的Adobe Reader个人用户并未使用已修复版本。

补丁安装率与0day漏洞

《2017年安全漏洞审查》报告还发表了另一些值得关注的结论:

2016年出现了22项0day漏洞,略低于2015年;个人电脑平台上最具人气的TOP 50应用程序当中,微软与非微软产品间的漏洞分布比例为22.%与77.5%。大多数(81%)安全漏洞在漏洞发布当天即提供修复补丁。然而在30天后,仍然只有不足2%的客户安装安全补丁。特别是对于需要管理大规模端口的企业(包括不会定期接入企业网络的设备),就需要利用多种软件安全漏洞管理方案以确保各设备及系统得到理想保护。《2017年安全漏洞审查》报告中的重要结论涵盖全部应用程序的总体统计数字

  1. 2016年,Secunia研究团队从来自246家供应商的2136款产品中发现总计17147项安全漏洞。
  2. 2016年,全部产品中81%的安全漏洞能够在披露当天即获得对应的修复补丁。
  3. 2016年共发现22项零日漏洞,比2015年减少了4项。
  4. 2016年报告的3416项安全漏洞中,有18%被评为“危险”,而0.5%被评为“高危”。
  5. 2016年,五大高人气网络浏览器共曝出713项安全漏洞,其分别为谷歌Chrome、Mozilla火狐、IE、Opera以及Safari。这一数字较2015年降低27.5%。
  6. 2016年,五大高人气PDF阅读器中总计发现289项安全漏洞,其分别为Adobe Reader、Foxit Reader、PDF-XChange Viewer、Sumatra PDF以及 Nitro PDF Reader。

个人PC设备上最具人气的50款应用程序

  1. 在个人PC设备上最具人气的TOP 50款应用程序当中,仅25款产品内就总计发现1626项安全漏洞。
  2. 2016年个人PC设备上最具人气的TOP 50款应用程序当中,Windows 7操作系统中发现的9%安全漏洞,微软应用程序内13.5%的安全漏洞,5%的安全漏洞影响非微软应用程序。
  3. 只占TOP 50款最具人气应用程序29%的15款非微软应用程序,却贡献了全部安全漏洞中的77.5%。微软应用程序(包括Windows 7操作系统)在TOP 50款最具人气应用程序中占71%,但安全漏洞数量却只占22.5%。
  4. 过去五年当中,TOP 50名高人气应用程序中非微软应用程序中存在的安全漏洞占这部分漏洞总量的78%。
  5. 2016年,TOP 50位最具人气应用程序中的全部安全漏洞总量为1626项,较过去五年的平均水平高15%。其中大部分安全漏洞被Secunia研究团队评为“危险”(65%)或者“高危”(7.5%)。
  6. 2016年,最具人气的TOP 50款应用程序中的全部安全漏洞有5%在披露当天即发布了相关修复补丁。

关于《2017年安全漏洞审查》报告。
这份年度安全漏洞审查报告来自Flexera Software公司Secunia研究团队立足漏洞层面对软件安全演进态势进行的研究。其中涵盖了安全漏洞与可用修复补丁、指向IT基础设施之安全威胁以及个人PC设备上最具上气之TOP 50款应用程序内安全漏洞的全球性数据。

从前50大软件组合中确定50款最具人气的应用程序。为了评估各端口的实际表现,我们对同一端口内常见的各类产品进行了分析。在此项分析中,我们对“Personal Software Inspector(个人软件检测器)”用户计算机内的统计出的75款程序进行扫描。立足于不同国家与不同地区,其安装的应用程序亦在种类及具体版本上存在区别。

为了明确起见,我们选择有代表性的软件安装组合内的 50款最常见应用程序。这50款应用程序中包含35款微软应用程序与15款非微软应用程序。

Secunia具体统计方法说明

安全漏洞管理领域的各研究机构往往会采取不同方法对安全漏洞进行计数。Secunia研究团队对每款产品中出现的安全漏洞进行计数,并借此反映客户所需要以保障其环境安全性的信息级别,即验证特定安全漏洞项所影响到的全部产品。

本文转自d1net(转载)

目录
相关文章
|
安全 前端开发 网络安全
公司网站有高危逻辑漏洞要修复怎么办
在我SINE安全对客户网站进行逻辑漏洞检测的时候,逻辑漏洞就是指由于程序结构输入管理不紧,造成程序代码不能够 正常解决或错误处理,一般发生在新用户注册、找回密码、信息内容查询、网上交易结算额度等。我将全部逻辑漏洞的现象分成前端开发和后端开发2个组成部分,整体构思全部都是先检测前端开发再检测后端开发。在我解读中实际上便是能提升标准限定的便是漏洞【像无法更改的,利用抓包就能够更改了】。
140 0
公司网站有高危逻辑漏洞要修复怎么办
|
安全 网络安全
企业需要优先修补与勒索软件相关的漏洞
企业需要优先修补与勒索软件相关的漏洞
144 0
|
监控 安全 数据安全/隐私保护
网站漏洞整改修复公司如何部署安全方案
目前网站存在漏洞导致被网警下发整改通知以及限期处理并回执的问题越来越多,云计算等技术极大地促进了服务器资源的分配和系统的部署,但随之而来的是资产管理中的安全风险。有些人没有及时回收资源和更新资产,在网上形成了僵尸主机,很容易成为攻击者的肉机。为有效保障企业工作的发展,相关法律法规明确要求网络管理人员及时处理系统漏洞、病毒、攻击等安全风险。但实际上,部分人员缺乏安全意识,对安全漏洞重视不够,部分企业缺乏足够的技术能力进行修复,导致上述安全风险未及时修复。
249 0
网站漏洞整改修复公司如何部署安全方案
|
SQL 安全 前端开发
PHP网站漏洞修复公司对于业务漏洞的修复
最近,我们公司的在线业务系统遇到了一个更为棘手的问题。该公司的网站在线商城系统遭到黑客的入侵,数据库中的用户数据被黑客盗取。由于大部分的客户信息的泄露,公司接到了客户投诉说是电话经常被骚扰,以及受到广告短信。由于缺乏专业的安全技术没有安全方面的经验,PHP系统仅限于功能的实现。看来我需要学习安全方面的一些防止SQL注入攻击的,所以我必须下定决心,努力学习网站的安全。通过不断的探索,我找到了一个比较好的PHP安全方面的书籍“PHP安全之路”。在阅读的过程中,我会把学到的东西记下来,以便将来可以进行学习回忆。
243 0
|
Web App开发
微软发布应急补丁 修复IE零日攻击安全漏洞
3月30日消息,据国外媒体报道,微软宣布计划发布一个应急补丁,修复在IE浏览器中的一个零日攻击的安全漏洞。 IE浏览器的一个累积的补丁(MS10-018)修复黑客在最近几个星期利用的在IE 6和IE 7浏览器中的安全漏洞。
850 0
|
Web App开发 安全
50%带毒网站利用IE新漏洞 用户应打好补丁
12月27日,一个名为“IE7攻击代码(Hack.Exploit.Script.JS.Agent.ic)”的恶意代码本周特别值得注意,它自上周出现后,疯狂势头一直未减。根据瑞星“云安全”系统提供的数据,每天有22万例网络攻击利用该漏洞进行,占据总体网络攻击比例的50%以上,尽管微软已经发布了针对该漏洞的补丁,但很多用户还没来得及弥补,预计此类攻击将持续相当长的时间。
895 0