研究：1/4零時差漏洞平均壽命長達9.5年

公共政策研究組織RAND Corporation上周發布了一項鎖定逾200個零時差漏洞的研究報告，指出這些零時差漏洞的平均壽命約為6.9年，只有25%的壽命低於1.51年，並有25%的壽命長達9.5年。

這份報告所調查的零時差漏洞有些特別，因為它們並非來自製造商的資料，也非是已被公開揭露的零時差漏洞，而是RAND與其他機構合作所取得的私人零時差漏洞資訊，目的是為了理解攻擊程式的開發產業，同時可作為揭露或藏私漏洞的政策參考。

RAND將這200個零時差漏洞分為三類，一是未被公開的現存漏洞，有些可能是因為業者已不再更新或維護程式碼，而成為永垂不朽的漏洞，約佔調查總數的40%。其次是已被揭露的漏洞，有些已修補，而有些則僅有漏洞資訊，第三種則是殭屍漏洞，這類的漏洞只存在於老舊版本而非新版中。

這些零時差漏洞都已出現相對應的攻擊程式，其中，有31.44%的攻擊程式在發現漏洞不到一周就開發完成，有71%的攻擊程式是在30天內出爐，只有10%的攻擊程式耗費90天以上。

該報告的主要作者Lillian Ablon指出，傳統的白帽研究人員多半會在發現漏洞的當下即知會軟體業者，但有些系統滲透測試業者或是灰帽駭客則傾向於把它們藏起來，究竟是要揭露、藏私或是開發攻擊程式則是一項權衡的遊戲，特別是對各國政府而言。

Ablon解釋，假設某國政府的對手也知道某個漏洞，那麼公開漏洞並推動業者修補即可強化該國的防禦能力，倘若這個漏洞只有該國知道，那麼保留這個漏洞則會是佔上風的最佳選項。

RAND發表該報告的時機正值維基解密（WikiLeaks）公布CIA網路攻擊火力大批文件Vault 7之際，文件中所提及的Stinger漏洞便是藏匿在英特爾（Intel）舊版的Stinger安全工具中，新版Stinger已被修補，隸屬於RAND所稱的殭屍漏洞。