研究：1/4零时差漏洞平均寿命长达9.5年

公共政策研究组织RAND Corporation上周发布了一项锁定逾200个零时差漏洞的研究报告，指出这些零时差漏洞的平均寿命约为6.9年，只有25%的寿命低于1.51年，并有25%的寿命长达9.5年。

这份报告所调查的零时差漏洞有些特别，因为它们并非来自製造商的资料，也非是已被公开揭露的零时差漏洞，而是RAND与其他机构合作所取得的私人零时差漏洞资讯，目的是为了理解攻击程式的开发产业，同时可作为揭露或藏私漏洞的政策参考。

RAND将这200个零时差漏洞分为三类，一是未被公开的现存漏洞，有些可能是因为业者已不再更新或维护程式码，而成为永垂不朽的漏洞，约佔调查总数的40%。其次是已被揭露的漏洞，有些已修补，而有些则仅有漏洞资讯，第三种则是殭尸漏洞，这类的漏洞只存在于老旧版本而非新版中。

这些零时差漏洞都已出现相对应的攻击程式，其中，有31.44%的攻击程式在发现漏洞不到一周就开发完成，有71%的攻击程式是在30天内出炉，只有10%的攻击程式耗费90天以上。

该报告的主要作者Lillian Ablon指出，传统的白帽研究人员多半会在发现漏洞的当下即知会软体业者，但有些系统渗透测试业者或是灰帽骇客则倾向于把它们藏起来，究竟是要揭露、藏私或是开发攻击程式则是一项权衡的游戏，特别是对各国政府而言。

Ablon解释，假设某国政府的对手也知道某个漏洞，那么公开漏洞并推动业者修补即可强化该国的防御能力，倘若这个漏洞只有该国知道，那么保留这个漏洞则会是佔上风的最佳选项。

RAND发表该报告的时机正值维基解密（WikiLeaks）公布CIA网路攻击火力大批文件Vault 7之际，文件中所提及的Stinger漏洞便是藏匿在英特尔（Intel）旧版的Stinger安全工具中，新版Stinger已被修补，隶属于RAND所称的殭尸漏洞。