Zerodium2016年零日漏洞价位表

趋势科技的ZDI（零日计划）发布了一份674个漏洞的年度报告，根据这份名为“2016回顾”的报告，ZDI计划在一年内共向漏洞报告者支付了近200万美元的赏金。

ZDI用奖金来鼓励漏洞披露，然而该公司没有将手中的漏洞进行售卖或分发，而是使用用相关信息来保护TippingPoint的消费者免受潜在的攻击，这种防护甚至会早于补丁。

在这份报告中，有54个漏洞没有在披露的时候完成修补，其余的漏洞都在ZDI和受影响供应商的妥善合作中得以解决。研究人员在过去的一年里向ZDI提交了很多漏洞，但是其中43%左右的漏洞未被ZDI所认可。

2016年间ZDI收集到的最有趣的漏洞，包括影响IE浏览器（CVE-2016-3382）、Edge引擎（CVE-2016-0158）、Windows系统（CVE-2016-7272）、OS X 系统（CVE-2016-1806）、Flash播放器（CVE-2016-7857）和谷歌浏览器（CVE-2016-5161）。其中影响OS X系统的CVE-2016-1806在Pwn2Own大赛上被公开。

一些研究人员在去年表现突出,包括kdot(30份报告)，bee13oy(18份报告)，rgod(15份报告)和史蒂芬·斯利(20份警告)。这些专家的其他报告会在供应商修复漏洞后尽快发布。所发布的漏洞报告中有12%是零日计划的员工的成果。

在去年公布的674个漏洞报告中，有149个漏洞涉及Adobe产品，占总数的22%。值得注意的是，Adobe Flash Player在11月的周二推送的安全补丁修复的九个漏洞，都是由ZDI汇报给这家软件巨头的。

令人惊讶的是，报告中受影响第二大（112个相关漏洞）的厂商，是提供工业自动化解决方案的研华科技(Adventech)。微软、苹果、福昕阅读器、甲骨文、太阳风、趋势科技、惠普(HPE)和谷歌也“跻身”前十。

ZDI的Dustin Childs表示，“有趣的是，去年有关苹果的漏洞大幅增加。在2014或2015年里，苹果产品的漏洞只占总数的4%，然而这个数字在2016年上升到了9%，即61个漏洞报告。我们很关心这一趋势在2017年会如何发展。”

目前，在接下来的四个月里ZDI有379个漏洞报告等待披露，这表明该机构在2017年发布的报告数量将至少与去年持平。