安全缺陷持續升高，新系統帶來新缺陷(轉)

安全缺陷持續升高，新系統帶來新缺陷(轉)[@more@]　　儘管還沒有過去，2006年的安全缺陷已經創下了新的記錄。但不幸中的萬幸是：只有較少的缺陷的危險性較高。

　　去年，Internet Security Systems(ISS)發現了5195個軟體缺陷。它在週一釋出的資料顯示，今年的軟體缺陷數量已經達到了5450，預計全年的軟體缺陷數量將達到7500個。ISS旗下研發部門X-Force的主管奧爾曼說，2006年的安全缺陷數量將有較大幅度的增長。

　　奧爾曼表示，隨著安全研究人員和軟體廠商在查詢缺陷方面越來越老練，以及自動審計工具的改進，發現的缺陷數量在不斷增長。由於軟體日益複雜，可能發現缺陷的軟體也越來越多了。ISS預測，與2005年相比，被證實的軟體缺陷數量將增長41%；2005年的安全缺陷數量較2004年增長了37%.

　　奧爾曼說，調查結果也傳達了一些好訊息：儘管安全缺陷數量增長了，但“危急”等高危缺陷的比例下降了。去年，高危缺陷在缺陷總數中的比例為28.4%，相比之下，今年截止到週一時這一數字只有17%，預計今年全年也是這個比例。

　　其它安全廠商也持相同的看法。VeriSign旗下的iDefense和eEye Digital Security都表示，它們發現今年的軟體缺陷數量有了增長。安全缺陷增長的另一個標誌是微軟釋出的補丁軟體數量。今年前三個季度微軟釋出了55款補丁軟體，上年同期的這一數字是45.另外，賽門鐵克的《網際網路安全威脅報告》表示，2006年頭6個月發現了2249個新缺陷，較上年同期增長了18%.

　　安全專家表示，更多的安全缺陷對駭客意味著更多的機會，對使用者則意味著更多的麻煩。奧爾曼說，使用者必須修正每一個缺陷，而駭客只需從如此多的缺陷中選擇一個發動攻擊即可。發現的缺陷越多，使用者也就越危險。

　　危急和高危險性缺陷指的是那些使蠕蟲能夠自行傳播，或駭客可以在無需使用者進行任何操作的情況下就能夠控制使用者系統的缺陷。在所佔百分比下降的同時，這類缺陷的絕對數量也在減少，預計數量將由去年的1475個減少為今年的1265個。

　　高危缺陷的減少部分原因與軟體開發質量提高有關。奧爾曼說，軟體正在變得越來越安全。另外，許多安全研究人員都開始使用自動化工具查詢軟體中的缺陷。

　　eEye的一名代表史蒂夫說，作業系統中被發現的缺陷數量也在減少。但是，它仍然是被發現缺陷最多的軟體大類。他說，IE、QuickTime、Office等客戶端軟體中的高危缺陷數量增加了。

　　奧爾曼表示，高危缺陷數量的減少可能是暫時的。當有新產品釋出時，高危缺陷數量通常會增長，而微軟將在明年1月份釋出Vista作業系統，我們預計明年上半年高危缺陷比例將有所上漲。