IBM本周四(2/25)發表了2009年X-Force趨勢及風險報告,指出雖然去年所發現的新漏洞比2008年減少了11%,不過,網釣、文件編輯工具漏洞,及惡意網站連結等安全風險卻有增長趨勢。
報告顯示,2009年發現的新漏洞為6601個,比2008年減少11%,其中,減少最多的安全漏洞為資料隱碼(SQL Injection)與ActiveX漏洞,顯示業者改善了安全性以及上述類別中較容易被發現的漏洞已被移除。
2009年值得稱許的還有未修補的重大漏洞數量減少,例如瀏覽器、文件閱讀工具及文件編輯器中未修補的安全漏洞逐年降低,有賴於軟體業者加速回應安全漏洞。
不過,IBM也在2009年發現新的漏洞趨勢,例如文件閱讀工具及文件編輯器的漏洞有大幅增加的趨勢,與2008年相較,上述類別的漏洞數量在2009年增加了50%。
更引人注意的是去年惡意網站連結數量增長了345%,IBM認為該趨勢進一步證明了,駭客不論是在代管惡意網頁上或是透過瀏覽器漏洞進行攻擊以獲得重大報酬等行動都是成功的。
駭客亦採用混淆攻擊(obfuscated attacks)來躲避安全軟體的偵測,嘗試把惡意程式藏匿在文件或網頁中,去年採用該種模式的攻擊數量為2008年的3到4倍。
在2009年所揭露的漏洞中,仍是以網路應用程式漏洞為最大宗,有49%新揭露的漏洞皆與網路應用程式有關,其中,跨站攻擊(cross-site scripting)超越資料隱碼,成為該類別數量最多的漏洞,另外,有67%的網路應用程式漏洞直到去年底皆未修補。
網釣攻擊數量在去年上半年有微幅下滑趨勢,但下半年再度竄起,網釣攻擊的主要源頭指向巴西、美國及俄國,取代了2008年的西班牙、義大利與南韓。至於網釣攻擊的手法最常見的仍是假冒金融機構,有61%的網釣郵件偽裝來自金融機構,有20%偽裝來自政府單位。
IBM X-Force Research經理Tom Cross表示,即使風險情勢不斷變動,但整體而言,去年業者在回應安全漏洞上有更佳的表現,只是駭客顯然沒有因此而退縮,才使得在網站上使用惡意攻擊程式的數量大增。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-16
2026-01-12
