通用软件产品的漏洞数量排名
摘要
随着计算机
网络技术的发展,全球互联网体量急速膨胀,网络安全形势日益严峻,国家政治、经济、 文化、社会及公民在网络空间的合法权益面临严峻挑战。近些年来安全漏洞数量呈现递增趋势,基于漏 洞的网络安全事件层出不穷,为我们敲响了信息安全攻防战的警钟。软件由于开发及设计等各方面的原因,存在漏洞在所难免。对安全研究人员来说,通过对漏洞发展 趋势的研究,可以在攻击者利用漏洞造成危害之前,提出及时有效的修补方案,尽可能的减少攻击事件 的发生。对软件开发商来说,通过对漏洞的研究,可以帮助开发人员把更多的精力放在安全开发过程中 需要注意的关键技术上,开发出高质量
的软件。本文以 NVD为数据源 1,对截止 2019 年底的历史漏洞 数据进行分析总结,并基于绿盟威胁情报中心 (NTI),得出以下观点:1. 通过对历史漏洞数据的回顾,可以看到漏洞数量呈现显著增长的总体趋势,2019 年的漏洞数量 比 1999 年增长了 9.62 倍。
- 操作系统被公开的漏洞中,开源操作系统占比相对更高,其安全性
问题可能暴露的更充分。如 排名第一的 Debian Linux 系统在过去的 20 年累计发现了 3705 条漏洞,以高效快速地修复安全 问题著称。1. 根据绿盟威胁情报中心显示,十年以上高龄漏洞在攻击事件中占比仍然高,对于这些历史悠久 的漏洞,由于攻击门槛低,攻击者依然在大量使用。 - 浏览器作为网络攻击的入口,漏洞种类复杂多样。通过对应用类软件漏洞利用在网络攻击事件 进行统计,浏览器漏洞利用占比 48.44%,影响范围广,安全人员仍需关注浏览器的更新与防护。
- 利用文件格式漏洞的鱼叉式钓鱼攻击已成为网络安全的主要威胁之一,攻击者通过诱导目标对 象点击打开包含漏洞的 PDF 或者 Office 文档,继而执行文档中内嵌的恶意脚本,此类漏洞利用 稳定性高,在 APT攻击事件中屡见不鲜。
- Flash 漏洞作为曾经的研究焦点,2015 和 2016 年爆出的漏洞总数占据 Flash 漏洞的 55.09%。
在实际攻击中常以插件形式被嵌套在各种 Exploit Kit工具包,可以达到稳定利用,更新速度快 以及免杀的效果。今后一段时间内,Flash 漏洞并不会彻底消亡,还需继续关注。 - 开源软件便于研究员进行基于源代码的白盒测试。Web 类开源框架的利用代码公开后可以在短 时间内被集成到成熟的攻击框架中,降低了漏洞利用的门槛。随着开源软件开发模式的兴起, 针对软件供应链的攻击成为面向软件开发人员和供应商的一种新兴威胁。
- 移动设备的安全决定着家庭和企业用户的信息资产的安全。近些年来社会各界对移动应用的漏 洞关注度逐渐提高,漏洞的产生不仅带来用户设备与信息的安全影响,也给企业带来业务或声 誉上的损失。
- 物联网设备数量增长迅速,大部分存在默认账户和弱口令,且大部分漏洞利用简单,攻击者容 易构建僵尸网络,存在极大的安全风险,设备厂商应该重视并加强自身产品的安全。
历史漏洞回顾
漏洞数量逐年显著增长
截至 2019 年底,NVD数据库共收录漏洞信息 138909 条,历年漏洞的数量及同比增长率如图 1.1 所示。 从 2005 年之后漏洞数量显著提升,同比增长 137%,2016 年更是突破万数大关,同比增长 411%,呈 现快速增长的趋势。
历年漏洞数量 历年漏洞同比增长率
图 1.1 历年漏洞数量统计
为了更准确的表示漏洞环境所面临的风险,行业给出了一套通用漏洞评分系统 CVSS(Common Vulnerability Scoring System),用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。由 于 CVSS v3.0 标准在漏洞覆盖率上不足,下文分析采用 CVSS v2.0 标准进行,其划分漏洞等级如表 1.1 所示。
表 1.1 CVSS v2.0 标准
根据 CVSS v2.0 等级标准,7.0-10.0 为高危漏洞,4.0-6.9 为中危漏洞,0.1-3.9 的则为低危漏洞。截 止 2019 年底共有 130937 条漏洞分配了 CVSS v2.0 等级,各个等级按数量分布的占比如图 1.2 所示。
图 1.2 漏洞的 CVSS V2.0 分布
低危漏洞占据漏洞总数的 8.72%,攻击者利用此类漏洞可以获取某些系统或服务的信息、读取系统 文件和数据。中危漏洞占 56.06%,攻击者利用此类漏洞可以远程修改、创建、删除文件或数据,或对 普通服务进行拒绝服务攻击。高危漏洞占据 35.22%,攻击者利用此类漏洞可以远程执行任意命令或者 代码,有些漏洞甚至无需交互就可以达到远程代码执行的效果。
NVD数据库提供 CWE条目,可对漏洞成因进行统一的分析。本文所分析的 138909 条漏洞中,共 有 130961 条分配了 CWE ID。图 1.3 给出了 TOP20 CWE 漏洞类型 1。
跨站脚本(CWE-79) 缓冲区溢出(CWE-119) 输入验证错误(CWE-20) 信息泄露(CWE-200)
SQL注入(CWE-89) 权限许可(CWE-264) 路径遍历(CWE-22)
资源管理错误(CWE-399) 跨站请求伪造(CWE-352)
加密问题(CWE-310) 代码注入(CWE-94) 越界读(CWE-125) 授权问题(CWE-287)
访问控制错误(CWE-284)
释放后重用(CWE-416) 数字错误(CWE-189) 整数溢出(CWE-190) 空指针引用(CWE-476) 越界写(CWE-787)
图 1.3 TOP20 CWE 漏洞类型
跨站脚本 (CWE-79)类型的漏洞数量以 12911 条占据第一。其他传统的 Web 攻防技术也是屡见不 鲜,SQL 注入 (CWE-89)、跨站请求伪造 (CWE-352)、代码注入 (CWE-94)等常见于服务器及 Web 应用 中,通过将恶意脚本嵌入到网页中,对网站数据造成危害。缓冲区溢出 (CWE-119)、越界读 (CWE-125)、 释放后重用 (CWE-416)、空指针引用 (CWE-476) 以及越界写 (CWE-787) 代表内存错误类型的漏洞,此 类型的漏洞在浏览器和 Office 软件中比较常见,同时也是 APT 攻击者的重要目标和武器。权限许可 (CWE-264) 和授权问题 (CWE-287) 以及访问控制错误 (CWE-284) 代表权限类型的漏洞,主要集中在服 务器操作系统、数据库类的应用中。信息泄露 (CWE-200)、资源管理错误 (CWE-399) 等类型的漏洞能 够导致敏感信息暴露,比如系统配置信息,数据库信息等,为攻击者进一步的攻击行为提供帮助。
通用软件产品的漏洞数量排名
根据 NVD漏洞库统计了前 10 漏洞数量涉及的供应商,如图 1.4 所示,主要涵盖 Microsoft、 Oracle、Google、IBM、Apple、Cisco、Debian、Adobe、Redhat、Canonical。其中 Microsoft 的漏洞 累计 6996 个,在厂商中排名第一。
图 1.4 TOP10 漏洞数量供应商
Microsoft 公司众多操作系统、Google 公司的 Chrome 浏览器、Oracle 公司的 Java 运行时环境、 Apple 公司的 iPhone、Adobe 公司的 Acrobat Reader 和 Flash,这些产品的用户基数大,实现功能复杂, 导致被大量安全研究员所关注,漏洞数量相对较多。
操作系统漏洞排名
根据 NVD数据库对 Product 字段的统计,操作系统的 TOP10 漏洞数量排名如图 1.5 所示 1。主流的 Linux发行版包含 Debian 和 Redhat,其中 Debian Linux 的系统稳定且占用内存小,软件包集成度良好, 深受用户喜欢。Debian 其及社区能在软件发布中快速地修复安全问题,安全研究的投入也比较多,在 过去的 20 年里累计发现了 3705 条漏洞。
图 1.5 TOP10 操作系统漏洞
Apple 的 Mac OS 系统以及 iOS 系统漏洞排名第四及第六。Microsoft 的操作系统中,Windows Server 2008 的漏洞最多,排名第七,Windows 7 和 Windows 10 的漏洞数量紧随其后。
应用软件漏洞排名
应用软件的漏洞数量排名如图 1.6 所示 2,Chrome 浏览器的漏洞排名第一, Firefox 排名第二、 Internet Explorer 排名第四、Safari 则排名第五。Acrobat Reader 漏洞与 Adobe Flash 分别排名第三、第六。
图 1.6 TOP10 应用软件漏洞
参考资料
绿盟 漏洞发展趋势报告
友情链接
GB-T 37094-2018 信息安全技术 办公信息系统安全管理要求
Linux的漏洞中不包含 linux kernel 的漏洞 ↩︎ ↩︎ ↩︎
的数量包含了 IE和 Internet Explorer 字段的数量 ,Acrobat Reader 的数量包含了 Acrobat DC、Acrobat、Acrobat
Reader、Reader 等字段的数量 ↩︎
通用软件产品的漏洞数量排名相关推荐
- 去年黑客用的未知软件漏洞数量增长一倍 创下纪录
黑客的技术正变得愈加先进 北京时间4月12日消息,据路透社报道,全球最大安全软件厂商赛门铁克发布的最新报告显示,去年黑客使用的此前未知软件漏洞数量增长了一倍以上,再次表明网络犯罪和网络间谍活动的技术正 ...
- 南大计算机学院有几个院士,中国大学两院院士数量排名,看看谁的科研实力最强...
大家都知道,院士是我国设立的科学技术方面的最高学士称号,分为中国科学院院士和中国工程院,原则上为终身称号,院士每两年增选一次,每次共计不超过60人.目前中国在世的两院院士也只有一千多人,所以一所大学的 ...
- 补天SRC漏洞数排名
今日(2019.02.17)爬取了补天漏洞平台众测SRC的总漏洞数和已解决漏洞数的数据,下面分享总漏洞数100排名和已解决漏洞数100排名.各大公司诸如BAT.美团等目前都有自己的SRC平台,其他公司 ...
- 重庆市人口信息平台服务器地址,重庆各区人口数量排名,2021年重庆各区人口数据统计分析...
一个城市的人口数量简介的反映了这个城市活跃度,人口数量庞大说明这个城市的发展是有很大潜力的.人可以带动经济消费促进经济发展.那么重庆所有的地区人口数量是多少?各地区人口排名怎么样?本文小编带你一起了解 ...
- 苏超 计算机系 南京大学,中国大学两院院士数量排名,看看谁的科研实力最强...
大家都知道,院士是我国设立的科学技术方面的最高学士称号,分为中国科学院院士和中国工程院,原则上为终身称号,院士每两年增选一次,每次共计不超过60人.目前中国在世的两院院士也只有一千多人,所以一所大学的 ...
- 全国计算机一级学科点数量,全国31省市高校1级学科博士点数量排名!
2017年高考还有10天就要来临,而考试后就是非常重要的志愿报考环节.而我国目前普通高校数量有3000所以上,如何判断各所高校的实力呢?高校的1级学科博士点数量是一个非常重要的判断指标.小编对全国31 ...
- Android App通用型拒绝服务漏洞介绍
Android 本地拒绝服务漏洞 漏洞类型:本地拒绝服务 威胁等级:中 影响版本:Android系统所有版本 漏洞描述 Android系统提供了Activity.Service和Broadcast R ...
- linux 漏洞数量,Debian Linux被列为过去20年漏洞数量最多的操作系统
1999 至 2019 年间,研究人员共发现了 Debian Linux 中的 3067 个安全漏洞.至于 Windows 平台,Server 2008 以 1421 个安全漏洞位列第一. Andro ...
- 移动设备感染率及物联网设备安全漏洞数量创下历史新高
诺基亚近日发布最新<威胁情报报告>.报告显示,移动设备恶意软件感染率创下历史新高,受攻击智能手机及主要物联网设备安全漏洞的数量出现大幅增长. <诺基亚威胁情报报告>每年发布两次 ...
- 机器学习笔记的github镜像下载(github个人star数量排名175)
黄海广博士在github开源了机器学习及深度学习个人笔记,成为热门项目,详情报道见文章.其中机器学习笔记10000+star,深度学习笔记7200+star.个人star数量23310,排名githu ...
最新文章
- pypy的安装及使用介绍
- Visual Studio 压力测试注意点
- 【收藏】Anaconda详细安装使用教程
- C++中的内联函数和C中的宏定义的区别
- (转)android UI进阶之自定义组合控件
- linux桌面下安装pptp,Linux下安装PPTP客户端
- IIS 7.0 中的 HTTP 状态代码
- 2月12 CNN结构特征+Faster R-CNN
- c# 服务器打印word文档,C#中5步完成word文档打印的方法
- [Win] 免登录百度网盘高速下载器 ENFI下载器 v1.3.1
- 【ros学习】11.ros建模时遇到No transform from [back_caster_link] to [base_link]不显示轮子
- x5开源库后续知识点
- 成功解决xgboost\core.py:614: UserWarning: Use subset (sliced data) of np.ndarray is not recommended beca
- 《“理想我”与“现实我”》
- c语言如何统计不同分数段学生人数,excel中如何统计不同班级各个分数段的学生人数...
- 开源项目搭建私有物联网智能家居接入天猫精灵控制
- Learning both Weights and Connections for Efficient Neural Networks
- 面试题:为什么索引要使用B+树而不使用其他索引?以及B+树为什么更矮胖
- android 模拟手指点击,『Android Tip』-- 模拟手势操作
- 基于verilog的正弦波发生器