SANS：未修補的應用程式最危險

安全研究機構SANS分析來自TippingPoint及Qualys的攻擊與漏洞資訊，發現被攻擊的應用程式漏洞已經超越作業系統漏洞，而最危險的兩大網路安全風險則是來自於未修補的應用程式以及含有漏洞的網站。

SANS指出，用來進行網路釣魚的目標式電子郵件攻擊主要針對的是使用者常用的應用程式，例如Adobe PDF Reader、QuickTime、Adobe Flash及Microsoft Office等，當使用上述含有漏洞的應用程式連上惡意網站時便會讓駭客有機可趁。

然而使用者在信賴的網站上下載文件時通常毫無戒心，因此很容易開啟可攻擊上述應用程式漏洞的檔案，有些攻擊行動甚至不需要使用者開啟檔案，而是只要連結到惡意網站就會受到影響。

這些被入侵的電腦可能會被用來感染其他網路上的電腦，駭客的終極目標是用來竊取特定組織的資料以及在使用者電腦上安裝後門程式以利未來進一步攻擊。然而，企業修補客戶端應用程式漏洞的速度通常比修補作業系統慢了一倍以上，代表企業低估了此一最高等級的安全風險。

排名第二的安全風險則是含有漏洞的網站。報告顯示，針對網路應用程式的攻擊佔了整體網路攻擊的6成以上，這些網站的漏洞會將可信賴的網站轉成含有客戶端攻擊程式的惡意網站。而這些網路應用程式漏洞中，SQL隱碼注射及跨站Scripting漏洞就佔了8成以上。值得注意的是，即使已有大量的漏洞被公開揭露或是大量的攻擊行動出現，網站業者仍然無法有效地掃描這些平常的漏洞，並成為駭客的工具。

至於傳統上一直受到重視的作業系統卻含有較少的遠端攻擊漏洞。該報告指出，自今年3月至8月的調查期間，除了Conficker/Downadup以外，並未發現任何其他針對作業系統的主要蠕蟲，但在該期間鎖定視窗緩衝區溢位漏洞的攻擊數量激增了3倍，佔據視窗作業系統攻擊行動的9成以上。

此外，漏洞研究人員的短缺也讓市面上的零時差攻擊漏洞增加，部份漏洞甚至已經存在兩年了都沒有修補。

SANS認為，龐大的攻擊數量及複雜的攻擊手法使許多企業面臨挑戰，因為企業必須要判斷哪些威脅或漏洞屬於最大風險，同時得分配資源並確保最危險的漏洞可率先被處理，但多數企業無法綜覽網路攻擊行為而使得該問題更形嚴重，因此，此一報告摘錄了各種漏洞及攻擊趨勢，以讓企業得以作為解決安全風險優先順序的參考。（編譯/陳曉莉）