去年,因特网安全系统的研究人员在各种软件中一共发现了5195个安全漏洞。据亚特兰大的调查公司称,截至本周一的时候,今年发现的安全漏洞数量已经达到了5450个,预计今年发现的安全漏洞总数将达到7500个左右。
因特网安全系统的研发工作组X-Force的主管甘特俄尔曼称:“从今年前三个季度的情况来看,2006年的安全漏洞数量将比往年大幅增长。”
随着专业查找软件漏洞的研究人员和软件厂商的技术水平提高以及自动审计工具软件性能的增强,今年发现的问题数量与往年相比有了很大的增加。而且,由于人们现在使用的软件比以前要多一些,可以查找漏洞的范围也就比以前要大一些。
亚特兰大的因特网安全系统机构预计,与去年相比,今年被确认的安全漏洞数量将增长41%左右。去年确认的安全漏洞数量则在前年的基础上增加了37%。事情也并非没有好的一面。虽然今年发现的安全漏洞总数比往年都要多,但是高度危险级安全漏洞在漏洞总数中所占比例却下降了。
俄尔曼说,去年高度危险级安全漏洞在漏洞总数中占28.4%;而今年这一数据下降到了17%。安全研究人员预计,从今年全年的角度来说,高度危险级安全漏洞在漏洞总数中所占比例可能也在17%左右。
俄尔曼说:“这可能是今年最值得欣慰的消息了。在过去的几年中,高度危险级安全漏洞在漏洞总数中所占比例一直呈增长态势。”
其他的安全公司也得出了与因特网安全系统机构的结论一样的研究结果。VeriSign公司的iDefense和电子眼数字安全公司也声称它们认为今年的安全漏洞总数会比往年要多一些。微软公司的安全公告可以被视作衡量安全漏洞总数增多的另一个指标。在今年的前三个季度里,微软公司已经发布了55个安全公告,而在去年同期,它发布的安全公告数量为45个。
除此之外,赛门铁克公司的因特网安全隐患报告称,在今年上半年,记录在案的新安全漏洞为2249个,与去年下半年相比增加了18%。赛门铁克公司称,今年上半年也创下了半年期发现安全漏洞数量最多的新纪录。在新发现的这些安全漏洞中,有80%的安全漏洞被认为是很容易被攻击者利用的漏洞。安全专家们称,安全漏洞的增加意味着网络攻击可能性的增加,以及安装补丁工作将变得更为复杂和繁琐。
俄尔曼说:“哪一个安全漏洞都不能掉以轻心,攻击者只要发现一个安全漏洞没有被修复就可以利用它发起攻击。发现的安全漏洞数量越多,电脑用户就越危险。”
危险级和高度危险级安全漏洞是指那些网络蠕虫可以通过它的存在而自己传播开来的漏洞,或者是指那些匿名攻击者可以借以发起远程攻击并在不需要用户参与的情况下控制住用户系统的漏洞。因特网安全系统机构称,不但高度危险级安全漏洞在漏洞总数中所占比例有所降低,今年发现的高度危险级安全漏洞的绝对数量也比去年要少一些。去年发现的高度危险级安全漏洞有1475个,预计今年发现的高度危险级安全漏洞的数量可能为1265个。
这可能是因为软件开发比以前更为严密所致。俄尔曼说:“如今的软件比以前开发的软件更安全。 而且许多专业查找安全漏洞的研究人员已经开始使用一款名为‘fuzzers’的自动工具软件。”
电子眼数字安全公司代表史蒂夫曼竺克说,操作系统中的高度危险级安全漏洞将越来越少。但是其他软件中的高度危险级安全漏洞将越来越多。
他说:“我们在客户端软件如IE浏览器、QuickTime和Office等软件中发现的高度危险级漏洞比以前更多了。”
俄尔曼说,高度危险级安全漏洞数量的减少可能只是暂时的现象。一旦某种重要的新软件上市,高度危险级安全漏洞的数量一般都会有所增加。根据微软公司计划,其新一代Vista操作系统将在明年一月份正式开始销售。微软公司声称Vista系统是“历史上最安全的Windows操作系统”。
俄尔曼说:“我想明年上半年的时候,高度危险级安全漏洞在漏洞总数中所占比例肯定会比现在要高一些。原因就是Vista系统的发布造成的。”
IDefense公司的快速反应工作组主管肯顿汉指出,那还不是人们最应该担心的安全隐患。今年的零时攻击数量也创下了新纪录。