惠普：軟體漏洞愈來愈少卻也愈來愈危險

惠普（HP）公布2011年的網路安全風險報告（2011 Top Cyber Security Risks Report），顯示商用軟體的安全漏洞愈來愈少，不過惠普認為這只是假象，因為未被計算到的漏洞可能形成更大的風險。

根據該報告，2011年總計提報了6843個新漏洞，比2010年的8502個少了19.5%。從歷年的資料來看，每年出現的新漏洞從2006年達到高峰以來便開始下滑，上述的漏洞計算是來自於開放源碼的OSVCB漏洞資料庫。

不過，惠普認為這可能只是假象，因為漏洞資訊有許多銷售管道，有些是公開的組織，或是黑市，也有業者提供漏洞通報獎金，由於有愈來愈多的漏洞資訊是私下交易，因此未被列入計算。此外，惠普還認為漏洞減少的原因是來自於軟體愈來愈複雜，因此漏洞也愈來愈不容易被發現。

惠普指出，傳統上每年的漏洞數量代表了該年安全產業的狀況，不過，單純的數量再也不是安全風險的有效指標，即使新漏洞減少了，但卻有大量的漏洞未被計算到，同時也未向安全產業通報，而使得形勢更危險。

另一方面，從新漏洞的風險等級來看，2011年的高風險漏洞（CVSS 8～10）就佔了新漏洞的24%，而且可導致遠端程式攻擊的高風險漏洞近年來的成長速度都大幅超越中／低風險漏洞的成長。

即使私下交易的漏洞資訊與複雜的軟體讓檯面上的漏洞數量減少，但惠普另一報告卻顯示攻擊次數逐年增加。其中，去年的網路應用程式攻擊數量比2010年成長了近5成，佔了去年攻擊總數的13%。

去年最常見的六大漏洞為跨站腳本漏洞、阻斷式服務攻擊漏洞、資料隱碼漏洞、緩衝區溢位漏洞、跨站假要求漏洞與遠端檔案存取漏洞等，其中的資料隱碼、跨站腳本、跨站假要求與遠端檔案存取漏洞都能透過網路攻擊，這些網路應用程式漏洞約佔所有漏洞的36%。其他日益普及的漏洞還包括權限擴張漏洞、記憶體毀損漏洞與驗證繞道漏洞等。

近來駭客的攻擊動機也有些改變，除了獲利外，還包括以抗議為主的駭客主義的興起，由於去年Anonymous組織發動了太多的抗議式攻擊，使得惠普直接將2011年訂為Anonymous年（Year of Anonymous）。（編譯/陳曉莉）