信息來(lái)源:賽迪網(wǎng)
賽迪網(wǎng)訊】根據(jù)匯總CVE數(shù)據(jù)的網(wǎng)站出具的2016年度CVE Details報(bào)告顯示�����,Andriod系統(tǒng)以523個(gè)漏洞位居產(chǎn)品漏洞數(shù)量榜首�,成為名符其實(shí)的第一名�。而Adobe也持續(xù)作為頭號(hào)種子,以1,383個(gè)漏洞繼續(xù)位列軟件供應(yīng)商的第一名�����。
CVE Details是美國(guó)政府管理下的國(guó)家漏洞數(shù)據(jù)庫(kù)通用漏洞披露信息網(wǎng)站�����,CVE Details通過(guò)追蹤C(jī)VE編號(hào)來(lái)進(jìn)行漏洞數(shù)據(jù)統(tǒng)計(jì)�,而CVE編號(hào)則是業(yè)內(nèi)通常使用的漏洞追蹤方式。
其實(shí)CVE數(shù)據(jù)的統(tǒng)計(jì)也是存在漏洞的��,比如Mac OS X在表中被算作一個(gè)項(xiàng)目�,而Windows的每個(gè)版本單獨(dú)算一個(gè)項(xiàng)目。雖然安全漏洞看上去非常的多��,但是我們普通用戶大可不必?fù)?dān)心只要提高警惕基本都不會(huì)中招。
CVE 據(jù)有以下特點(diǎn):
1.漏洞和暴露的名稱
2.描述每種漏洞或者暴露的一種標(biāo)準(zhǔn)
3.字典而不是數(shù)據(jù)庫(kù)
4.不同的數(shù)據(jù)庫(kù)和工具用同一種語(yǔ)言交流�。
5.提供互操作性和更好的安全覆蓋
6.安全工具和數(shù)據(jù)庫(kù)評(píng)估的基礎(chǔ)
7.公眾可以免費(fèi)下載和使用
為何安卓的漏洞較多:
1.各種靠譜和不靠譜的硬件廠商貢獻(xiàn)了“安全性參差不齊”的安卓代碼。
2.Android 本身處于快速發(fā)展期��,不像 Windows 等系統(tǒng)已經(jīng)處在成熟����、穩(wěn)定的“壯年期”,代碼走向成熟是需要時(shí)間的��。
3.隨著移動(dòng)生態(tài)的發(fā)展��,安卓漏洞研究社區(qū)很活躍����,有越來(lái)越多的人關(guān)注Android 漏洞,方法����、工具都不斷出現(xiàn)和被改良。
看看Android的幾個(gè)高危漏洞:
漏洞編號(hào)為CVE-2016-5195��, Linux 內(nèi)核臟牛漏洞允許攻擊者在內(nèi)核操作中不斷提升自己的權(quán)限并作為合法用戶來(lái)執(zhí)行遠(yuǎn)程代碼��,換而言之就是該漏洞能夠讓攻擊者在Linux設(shè)備上獲得root權(quán)限,Android 系統(tǒng)無(wú)一幸免��。而·該漏洞的作者甚至為臟牛漏洞申請(qǐng)了獨(dú)立的網(wǎng)站�、推特賬號(hào)。
漏洞編號(hào)為CVE-2016-5696��,利用這個(gè)漏洞�,可以悄無(wú)聲息地潛入在受害用戶的安卓手機(jī),植入釣魚(yú)木馬�����,盜走電子賬戶上所有的錢(qián)��,拷貝相冊(cè)中的照片����,偽造受害用戶身份進(jìn)行欺詐等�。
Google Project Zero安全團(tuán)隊(duì)成員Mark Brand披露的,編號(hào)CVE 2016-3861�����,該漏洞允許攻擊者執(zhí)行惡意程序或本地提權(quán)����。Brand稱該漏洞極端危險(xiǎn)�����,因?yàn)樗梢酝ㄟ^(guò)多種方式利用����。他同時(shí)披露了漏洞利用代碼��。
漏洞編號(hào)CVE-2016-3862�����,類(lèi)似Stagefright��,能通過(guò)發(fā)送惡意圖像文件利用��,其中惡意代碼能被隱藏在圖像嵌入的Exif數(shù)據(jù)中����。受害者無(wú)需任何操作就能遭到入侵。
看了以上內(nèi)容大家也不必誠(chéng)惶誠(chéng)恐�����,看待這個(gè)漏洞應(yīng)該“多維度”,不同廠商的產(chǎn)品數(shù)量不同�����,產(chǎn)品數(shù)量多的在概率上來(lái)講必定會(huì)出更多漏洞����。另外漏洞數(shù)量不一定和安全性劃等號(hào),因?yàn)椴煌瑥S商對(duì)漏洞判定的標(biāo)準(zhǔn)不同����。
就安卓系統(tǒng)來(lái)講,雖然2016年確實(shí)被發(fā)現(xiàn)和曝光了諸多漏洞�,但是漏洞的及時(shí)發(fā)現(xiàn)是快速解決的前提��,同時(shí)也能盡量減小漏洞對(duì)用戶的洞影響和危害��。所以��,軟件漏洞得到曝光和發(fā)現(xiàn)��,在某種層面也具有一定的積極意義����,不能簡(jiǎn)單的說(shuō)安卓就是一款“漏洞百出”的軟件�?�!霸绨l(fā)現(xiàn)早治療”效果會(huì)更好�����!
