Risk Based Security 公佈的《2018 年 3 季度漏洞快報》指出,年內曝光的漏洞中,有近一半可被遠端利用、僅 13% 需要本地訪問。
截止三季度末,VulnDB 團隊統計了 16172 個漏洞;與 2017 年同期相比,數量下降約 7% 。
有趣的是,2018 年前三季,僅一月(+4.5%)、二月(+24.6%)、五月(+7.6%)較去年同期有所增長;七月 -1.7%、九月 -40% 。
【按漏洞暴露位置分類】
在 10 月 29 日釋出的統計中:大約一半漏洞可被遠端利用,約 30% 依賴於關聯情境;13% 需獲得目標裝置的本地訪問許可權,僅 5.8% 影響移動裝置。
概念驗證(PoC)型別的漏洞描述,佔報告的 43%,另有超過 12% 被野外攻擊利用(而非由發現它們的研究人員所開發)。
【按漏洞解決方案來分類】
值得一提的是,在三季度末報告中,絕大多數漏洞都是由“驗證不充分或不正確的輸入”引起的。
這清楚地表明,軟體開發人員仍需制定強檔的軟體開發生命週期(SDL)和審計措施,以減少最終產品中包含的安全威脅。
【按漏洞攻擊型別分類】
Risk Based Security 總結道:“2018 年報告的大量漏洞,已經有可用的更新版本或補丁”。
遺憾的是,仍有 24.9% 的漏洞報告,缺乏已知的解決方案。這表明,儘管漏洞修復非常重要,但作為補救措施,還不能完全依賴於它。
Risk Based Security 公佈的《2018 年 3 季度漏洞快報》指出,年內曝光的漏洞中,有近一半可被遠端利用、僅 13% 需要本地訪問。
截止三季度末,VulnDB 團隊統計了 16172 個漏洞;與 2017 年同期相比,數量下降約 7% 。
有趣的是,2018 年前三季,僅一月(+4.5%)、二月(+24.6%)、五月(+7.6%)較去年同期有所增長;七月 -1.7%、九月 -40% 。
【按漏洞暴露位置分類】
在 10 月 29 日釋出的統計中:大約一半漏洞可被遠端利用,約 30% 依賴於關聯情境;13% 需獲得目標裝置的本地訪問許可權,僅 5.8% 影響移動裝置。
概念驗證(PoC)型別的漏洞描述,佔報告的 43%,另有超過 12% 被野外攻擊利用(而非由發現它們的研究人員所開發)。
【按漏洞解決方案來分類】
值得一提的是,在三季度末報告中,絕大多數漏洞都是由“驗證不充分或不正確的輸入”引起的。
這清楚地表明,軟體開發人員仍需制定強檔的軟體開發生命週期(SDL)和審計措施,以減少最終產品中包含的安全威脅。
【按漏洞攻擊型別分類】
Risk Based Security 總結道:“2018 年報告的大量漏洞,已經有可用的更新版本或補丁”。
遺憾的是,仍有 24.9% 的漏洞報告,缺乏已知的解決方案。這表明,儘管漏洞修復非常重要,但作為補救措施,還不能完全依賴於它。