信息來源:51cto
根據(jù)Risk Based Security的最新報告,今年迄今為止披露的創(chuàng)紀錄的10,644個漏洞中有近17%屬于高危級別的嚴重漏洞,企業(yè)和個人面臨的安全威脅與日俱增。
對于那些希望從軟件補丁修補中獲得喘息的組織來說,目前看起來似乎沒有什么緩解的跡象。今天發(fā)布的Risk Based Security的最新安全報告顯示,軟件中發(fā)現(xiàn)的漏洞數(shù)量并沒有減少的跡象。
在今年1月1日至6月30日期間,業(yè)界共發(fā)布了10,644個漏洞,超過2017年同期的9,690個漏洞。今年迄今為止的趨勢表明,2018年披露的漏洞總數(shù)將輕松超過2017年全年的20,832個漏洞,這個數(shù)字 比2016年增長了31%。
今年報告的軟件漏洞中約有17%屬于嚴重漏洞,在CVSS評級量表上的嚴重等級在9.0到10.0之間。不過這個數(shù)字相比2017年上半年Risk Based Security報告中21.1%的嚴重漏洞占比已經(jīng)有所下降。
2018年報告發(fā)現(xiàn)的漏洞中,46.3%與web相關(guān),接近一半屬于遠程利用漏洞。今年迄今為止風(fēng)險安全數(shù)據(jù)庫中近三分之一的漏洞都屬于公開漏洞,但有73%的公開漏洞已有解決方案。
Risk Based Security漏洞情報副總裁Brian Martin表示,大多數(shù)漏洞都從用戶或攻擊者的輸入著手,而軟件對惡意輸入往往缺乏免疫能力?!拔覀儗⑺鼈儦w類為影響軟件完整性的輸入操作問題,”他指出。
并非所有漏洞都收錄進CVE和NVD數(shù)據(jù)庫
值得注意的是,2018年上半年,Risk Based Security的漏洞數(shù)據(jù)庫中有超過3,275個漏洞并未在MITRE的CVE和國家漏洞數(shù)據(jù)庫(NVD)中發(fā)布。其中,超過23%的漏洞的CVSS評分在9.0到10.0之間。
換句話說,純粹依賴CVS / NVD漏洞數(shù)據(jù)的企業(yè)和組織可能完全不知道自己至少漏掉了超過750個嚴重漏洞。