資安報告：78%的軟體漏洞來自於網路應用

網路應用程式安全業者Cenzic周一（11/9）發表了今年上半年的網路應用程式安全趨勢報告，指出今年總計發現3100個軟體漏洞，其中有78%屬於網路應用程式漏洞。

今年上半年的軟體漏洞數量比去年下半年增加了10%，達到3100個，其中網路應用程式漏洞所佔的比例為78%，比去年同期的73%成長，但比去年下半年的80%少了一些，Cenzic認為這與歐巴馬政府誓言保護資訊安全的措施有關。

在網路應用程式漏洞中，有90%的漏洞來自於商業網路應用程式，瀏覽器佔了8%，網路伺服器佔了2%。商業網路應用程式的漏洞以資料隱碼攻擊（25%）及跨站攻擊漏洞（17%）為最普遍，這也導致了今年上半年的攻擊主要都是鎖定這兩大漏洞。根據Cenzic的評估，有9成的應用程式都有資料外洩、跨站攻擊、驗證或連結管理等漏洞。

至於前十大最嚴重的漏洞則分別來自於昇陽、IBM、SAP、PHP及Apache的產品。

在瀏覽器類別中，Firefox擁有最多漏洞，佔了44%，Safari佔了35%，IE佔15%，Opera則僅有6%。

這與另一資安業者Secunia所調查的結果相近，Secunia曾於去年調查主要瀏覽器的漏洞數量，發現擁有最多漏洞的是Firefox，總計有115個安全漏洞，居次的則是Safari的32個，IE佔31個，Opera為30個；Secunia也發現，雖然Firefox的漏洞數量居冠，但在零時差漏洞的修補速度則比IE快上許多。（編譯/陳曉莉）