【51CTO.com獨(dú)家翻譯】Apache、Citrix、IBM、SAP、Sun和Symantec連同其它公司共同選出了2009年上半年十種最嚴(yán)重的軟件漏洞。根據(jù)檢測(cè)到的軟件漏洞的數(shù)量來看，近乎九成的web應(yīng)用程序都帶有可能導(dǎo)致敏感信息泄漏的安全漏洞。

根據(jù)Cenzic在周一發(fā)布的《2009年1～2季度web應(yīng)用安全趨勢(shì)報(bào)告》稱，今年上半年發(fā)現(xiàn)了3100多個(gè)安全漏洞，比2008年下半年發(fā)現(xiàn)的漏洞數(shù)量增加了10%以上。

在所有這些安全漏洞中，其中78%為Web應(yīng)用程序漏洞，這一比率與2008年的下半年相比有所下降，但是卻高于去年上半年的水平。SANS協(xié)會(huì)在九月份發(fā)表的“頂級(jí)信息安全威脅”報(bào)告中指出，超過60%的攻擊企圖都是針對(duì)因特網(wǎng)上的web應(yīng)用程序的。Cenzic的報(bào)告指出，對(duì)于這些Web應(yīng)用程序漏洞，百分之九十的漏洞是在商業(yè)Web應(yīng)用程序中發(fā)現(xiàn)的，同時(shí)有8%的漏洞存在于運(yùn)行web應(yīng)用程序的瀏覽器中。

受十大安全漏洞影響的軟件制造商包括PHP、SAP、Sun、Citrix、Apache、F5 Networks、Symantec和IBM。據(jù)Cenzic稱，SQL注入和跨站腳本攻擊漏洞在所有Web攻擊中分別占據(jù)25%和17%的數(shù)量。

Cenzic的報(bào)告聲稱，在接受分析的web應(yīng)用程序中有87%的程序具有嚴(yán)重的安全漏洞，這些漏洞足以導(dǎo)致在交易過程中泄漏敏感或者機(jī)密的用戶信息。在2008年的第二季度，該數(shù)量為78%。

就瀏覽器的漏洞而言，F(xiàn)irefox和Safari的漏洞數(shù)量遙遙領(lǐng)先，而Google Chrome的漏洞數(shù)量則要少得多。該報(bào)告指出，Mozilla Firefox漏洞所占比例最高，為44%。令人驚訝的是，Safari瀏覽器的漏洞數(shù)量竟然也占到了35%，這可能由于iPhone Safari的漏洞數(shù)量也算進(jìn)來的緣故。 Internet Explorer的漏洞數(shù)量為15%，位居第三，而Opera的漏洞數(shù)量?jī)H占總漏洞數(shù)量的6%。

近年來，Mozilla的Firefox一直趨向于高過Internet Explorer的漏洞數(shù)量，不過Firefox的缺陷的修復(fù)速度要比Internet Explorer快得多。因此，Mozilla辯稱，人們應(yīng)當(dāng)將用戶受漏洞威脅的天數(shù)，而非漏洞的數(shù)量來作為衡量安全的尺度。

Firefox團(tuán)隊(duì)的成員還表示，F(xiàn)irefox和Internet Explorer的安全性無法進(jìn)行簡(jiǎn)單的比較，因?yàn)镸ozilla的安全處理是開放式的，而微軟的安全漏洞處理過程是封閉式的。

Mozilla公司的Johnathan Nightingale為上述言論發(fā)出了一封電子郵件進(jìn)行注釋，“Cenzic的報(bào)告看起來好像是通過安全漏洞數(shù)量的總和來度量安全性的，而我們?cè)缇椭赋鲞@種度量方式是有缺陷的”。 “甚至有跡象表明，微軟公司也開始注意這個(gè)問題：Steve Lipner最近在接受采訪時(shí)就說過，不能通過統(tǒng)計(jì)安全漏洞的數(shù)量來考量微軟公司SDL的成功?！蔽④浌景l(fā)言人沒有立即對(duì)此作出解釋，只是說其安全開發(fā)生命周期是降低了其產(chǎn)品中漏洞的數(shù)量的一個(gè)原因。

Nightingale還指出Cenzic的報(bào)告中瀏覽器缺陷很大程度上要?dú)w咎于插件軟件，而Mozilla最近將推出一項(xiàng)插件檢查服務(wù)來改善插件的安全性。

【51CTO.COM 獨(dú)家翻譯，轉(zhuǎn)載請(qǐng)注明出處及作者！】 

【編輯推薦】

1. 保護(hù)信息安全 專家稱行業(yè)自律比立法更重要
2. Adobe Shockwave Player 的2009年11月第一次更新
3. 趨勢(shì)退出VB100病毒測(cè)試 強(qiáng)調(diào)評(píng)測(cè)與病毒的不對(duì)等博弈
4. 趨勢(shì)科技：云安全是安全領(lǐng)域的一場(chǎng)工業(yè)革命
5. 2009年世界頂級(jí)殺毒軟件排行(ToptenReviews)
6. 51CTO云安全專題頁
7. 企業(yè)需要在應(yīng)用程序開發(fā)時(shí)保證數(shù)據(jù)安全
8. “云”火墻讓Cisco防火墻能夠與眾不同