研究:1/4零时差漏洞平均寿命长达9.5年
公共政策研究组织RAND Corporation上周发布了一项锁定逾200个零时差漏洞的研究报告,指出这些零时差漏洞的平均寿命约为6.9年,只有25%的寿命低于1.51年,并有25%的寿命长达9.5年。
这份报告所调查的零时差漏洞有些特别,因为它们并非来自製造商的资料,也非是已被公开揭露的零时差漏洞,而是RAND与其他机构合作所取得的私人零时差漏洞资讯,目的是为了理解攻击程式的开发产业,同时可作为揭露或藏私漏洞的政策参考。
RAND将这200个零时差漏洞分为三类,一是未被公开的现存漏洞,有些可能是因为业者已不再更新或维护程式码,而成为永垂不朽的漏洞,约佔调查总数的40%。其次是已被揭露的漏洞,有些已修补,而有些则仅有漏洞资讯,第三种则是殭尸漏洞,这类的漏洞只存在于老旧版本而非新版中。
这些零时差漏洞都已出现相对应的攻击程式,其中,有31.44%的攻击程式在发现漏洞不到一周就开发完成,有71%的攻击程式是在30天内出炉,只有10%的攻击程式耗费90天以上。
该报告的主要作者Lillian Ablon指出,传统的白帽研究人员多半会在发现漏洞的当下即知会软体业者,但有些系统渗透测试业者或是灰帽骇客则倾向于把它们藏起来,究竟是要揭露、藏私或是开发攻击程式则是一项权衡的游戏,特别是对各国政府而言。
Ablon解释,假设某国政府的对手也知道某个漏洞,那么公开漏洞并推动业者修补即可强化该国的防御能力,倘若这个漏洞只有该国知道,那么保留这个漏洞则会是佔上风的最佳选项。
RAND发表该报告的时机正值维基解密(WikiLeaks)公布CIA网路攻击火力大批文件Vault 7之际,文件中所提及的Stinger漏洞便是藏匿在英特尔(Intel)旧版的Stinger安全工具中,新版Stinger已被修补,隶属于RAND所称的殭尸漏洞。
- 上一篇
网际网路28岁,网路之父提隐私、假新闻、政治广告三大隐忧
图片来源: World Wide Web Foundation 28年前设计World Wide Web,有网际网路之父美称的Tim Berners-Lee周日发表公开信,指出隐私不保、假新闻充斥及政治广告三大现象令其忧心不已,并提出六项改革建议。 ? 1989年3月12日于任职于欧洲核子研究组织(CERN)任
- 下一篇
担心BadUSB吗?USB防火墙装置USG来了!
一名研究人员Robert Fisk日前在GitHub释出了USG 1.0,这是一个开放源码的USB防火墙,宣称能够保障电脑免受BadUSB的危害。 市面上几乎所有电脑都具备了USB传输介面,而用来连结电脑的USB装置也包罗万象,最常见的包括随身碟、滑鼠或键盘等,然而,先前即有资
相关文章
- FGO人物逸闻,fgo北斋葛饰为什么叫阿荣?
- 赛尔号中的索兰特是邪灵组织吗?索兰特和布莱克什么关系
- Xbox买会员服务可以玩所有游戏吗
- 火影忍者:忍界中的四大伪君子分别是谁?大野木,神农,四代风影上榜。
- 神印王座谁赢了:龙皓晨对战杨文昭谁厉害,龙皓晨是怎样打败杨文昭
- 杨文昭和陈樱儿在一起吗?
- 喜羊羊全员基因转变成狼族,造型高冷炫酷,美羊羊的各种姿态!
- 颜艺才是本体!《狂赌之渊》真人版的学生会长终于涂上了蓝色口红,狂赌之渊学生会成员有哪些
- 史莱姆第15话:利姆露赐予鬼人职务,紫苑完全不适合,朱菜没变化,转生史莱姆结局
- 《杀手6》游侠LMAO 8.3完整内核汉化补丁下载发布!杀手6怎么玩,杀手6通关攻略大全