卡巴斯基实验室报告：很多用户从来不升级已经过时的软件或包含漏

发布时间：2013-03-05 18:44:34作者：知识屋

根据卡巴斯基实验室基于云的卡巴斯基安全网络数据，卡巴斯基实验室研究了由软件漏洞造成的威胁。研究表明，很多使用较旧版本或高危版本Oracle Java和Adobe Reader的用户非常不情愿更换较新或较安全的版本。

近日，卡巴斯基实验室对2012年常见程序安全漏洞进行分析后，发布了题为《评估软件漏洞威胁水平》的报告。除了指出最常见包含危险漏洞的软件外，研究还评估了用户升级新软件版本的积极性。分析结果并不令人乐观，因为很多较旧版本的软件，甚至过时的软件仍然广泛存在于很多计算机上数月甚至数年。

软件漏洞给个人消费者和企业造成的威胁非常明显。漏洞能被用做“盗窃工具”，窃取用户个人数据，针对企业进行网络间谍攻击，或者破坏重要工业系统和政府机构。想要缓解这些威胁，有多种手段。一些软件开发商不断发布软件更新，增强其产品的整体安全性。或者采用先进的保护技术抵御威胁，例如卡巴斯基实验室的自动漏洞入侵防护技术。卡巴斯基实验室最新的研究目的是了解软件漏洞造成的真实威胁，评估用户对于最新发布的修补威胁漏洞的新软件版本的反应。这次分析主要针对常见的软件漏洞，这些漏洞经常被网络罪犯所利用。2012年发现的这类漏洞总数超过800个。其中一些虽然很难在用户计算机上发现，却能够被用来做为针对性攻击的入口。

主要研究发现

通过对超过1100万用户进行数据分析，共在不同的程序中发现超过1.32亿次漏洞，平均每个用户计算机有12个漏洞
超过800个不同漏洞被发现
这些漏洞中，有37种漏洞被发现存在于至少10%的计算机上，存在时间在2012年至少有一周。这些漏洞占所有检测到的漏洞的70%
最常见37种漏洞种，只有8种存在于网络罪犯经常使用的漏洞利用程序包中，其中：
- Oracle Java中包含5种漏洞
- Adobe Flash Player中包含2种漏洞
- Adobe Reader中包含1种漏洞
针对用户更换最新以及更安全版本软件的积极性研究显示：
- 最新版Java软件发布后六个星期（2012年9月至10月），只有28.2%的用户选择升级到较安全版本，超过70%的用户让系统暴露在Java漏洞威胁中。
- 过时的2012版Adobe Flash Player很容易被网络罪犯所利用发动攻击，该软件安装率平均占计算机总量的10.2%，同2012年相比，没有明显改观。
- o早在2011年12月被发现的一种Adobe Reader漏洞在计算机中的存在比例为13.5%，同样没有改观。

卡巴斯基实验室漏洞研究专家Vyacheslav Zakorzhevsky

“这次调查表明，在发现一个安全漏洞后不久，发布安全补丁对其进行修补，对于保护用户和企业安全还不够。低效的更新机制使得数百万Java、Adobe Flash和Adobe Reader用户仍然面临风险。此外，2012年和2013年初还发现Java存在大量严重漏洞，表明用户需要更为先进和及时的安全保护手段。企业也应该严肃对待这一问题，因为常见软件中包含的漏洞已经成为执行针对性攻击的主要入口。”

《评估软件漏洞威胁水平》报告全文发表于Securelist.com网站上。您还可以点击这里下载PDF版本。

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）