Risk Based Security三季度漏洞快報:近50%可被遠程利用
Risk Based Security公佈的《2018年3季度漏洞快報》指出,年內曝光的漏洞中,有近一半可被遠程利用、僅13%需要本地訪問。截止三季度末,VulnDB團隊統計了16172個漏洞;與2017年同期相比,數量下降約7% 。有趣的是,2018年前三季,僅一月(+4.5%)、二月(+24.6%)、五月(+7.6%)較去年同期有所增長;七月-1.7%、九月-40 % 。
按漏洞暴露位置分類
在10月29日發布的統計中:大約一半漏洞可被遠程利用,約30%依賴於關聯情境;13%需獲得目標設備的本地訪問權限,僅5.8%影響移動設備。
概念驗證(PoC)類型的漏洞描述,佔報告的43%,另有超過12%被野外攻擊利用(而非由發現它們的研究人員所)。
按漏洞解決方案來分類
值得一提的是,在三季度末報告中,絕大多數漏洞都是由“驗證不充分或不正確的輸入”引起的。
這清楚地表明,軟件開發人員仍需制定強檔的軟件開發生命週期(SDL)和審計措施,以減少最終產品中包含的安全威脅。
按漏洞攻擊類型分類
Risk Based Security總結道:“2018年報告的大量漏洞,已經有可用的更新版本或補丁”。
遺憾的是,仍有24.9% 的漏洞報告,缺乏已知的解決方案。這表明,儘管漏洞修復非常重要,但作為補救措施,還不能完全依賴於它。
[編譯自:Softpedia ]