尽管还没有过去,2006年的安全缺陷已经创下了新的记录。但不幸中的万幸是:只有较少的缺陷的危险性较高。
去年,Internet Security Systems(ISS)发现了5195个软件缺陷。它在周一发布的数据显示,今年的软件缺陷数量已经达到了5450,预计全年的软件缺陷数量将达到 7500个。ISS旗下研发部门X-Force的主管奥尔曼说,2006年的安全缺陷数量将有较大幅度的增长。
奥尔曼表示,随着安全研究人员和软件厂商在查找缺陷方面越来越老练,以及自动审计工具的改进,发现的缺陷数量在不断增长。由于软件日益复杂,可能发现缺陷的软件也越来越多了。ISS预测,与2005年相比,被证实的软件缺陷数量将增长41%;2005年的安全缺陷数量较2004年增长了37%.
奥尔曼说,调查结果也传达了一些好消息:尽管安全缺陷数量增长了,但“危急”等高危缺陷的比例下降了。去年,高危缺陷在缺陷总数中的比例为28.4%,相比之下,今年截止到周一时这一数字只有17%,预计今年全年也是这个比例。
其它安全厂商也持相同的看法。VeriSign旗下的iDefense和eEye Digital Security都表示,它们发现今年的软件缺陷数量有了增长。安全缺陷增长的另一个标志是微软发布的补丁软件数量。今年前三个季度微软发布了55款补丁软件,上年同期的这一数字是45.另外,赛门铁克的《互联网安全威胁报告》表示,2006年头6个月发现了2249个新缺陷,较上年同期增长了18%.
安全专家表示,更多的安全缺陷对黑客意味着更多的机会,对用户则意味着更多的麻烦。奥尔曼说,用户必须修正每一个缺陷,而黑客只需从如此多的缺陷中选择一个发动攻击即可。发现的缺陷越多,用户也就越危险。
危急和高危险性缺陷指的是那些使蠕虫能够自行传播,或黑客可以在无需用户进行任何操作的情况下就能够控制用户系统的缺陷。在所占百分比下降的同时,这类缺陷的绝对数量也在减少,预计数量将由去年的1475个减少为今年的1265个。
高危缺陷的减少部分原因与软件开发质量提高有关。奥尔曼说,软件正在变得越来越安全。另外,许多安全研究人员都开始使用自动化工具查找软件中的缺陷。
eEye的一名代表史蒂夫说,操作系统中被发现的缺陷数量也在减少。但是,它仍然是被发现缺陷最多的软件大类。他说,IE、QuickTime、Office等客户端软件中的高危缺陷数量增加了。
奥尔曼表示,高危缺陷数量的减少可能是暂时的。当有新产品发布时,高危缺陷数量通常会增长,而微软将在明年1月份发布Vista操作系统,我们预计明年上半年高危缺陷比例将有所上涨。