“零日计划”( ZDI:Zero Day Initiative )2018年上半年收到的漏洞报告数量环比增长了33%,有望打破2017“史上最繁忙漏洞年”记录。
从年初到现在,ZDI已向提交漏洞的研究人员支付了超过100美元的漏洞奖金。回顾2018年上半年,ZDI发布了破纪录的600个漏洞警报;而去年同期,这个数字是451。尽管2017年被称为“史上最繁忙漏洞年”,33%的漏洞报告增幅还是让2018年看起来有打破2017年记录的趋势。
虽然报告的漏洞数量上升,发布的漏洞警报也比去年同期多了很多,但零日漏洞报告却环比下降了42%。
微软、苹果、Adobe、SCADA、虚拟化软件漏洞趋势
ZDI指出了下列几大“有趣”趋势:
微软:微软相关漏洞比去年同期增长了惊人的121%。其中一大部分都是浏览器相关,显示出IE、Edge和 Chakra Core 的运行时编译(JIT)漏洞是如何变成2018年的释放后使用(UAF)漏洞的。考虑到微软今年上半年仅比去年同期多发布了8%的补丁,ZDI认为,漏洞报告数量的上升,表明的是微软产品的增多,而非产品中漏洞的增加。ZDI手里现在还握有其他39个等待补丁推出的微软漏洞。
苹果:苹果产品漏洞报告数量比去年同期下降了28.5%。但这不过是一种假象。ZDI称,苹果漏洞报告数量较少的结果,并没有考虑进2017年Pwn2Own上曝出的多个苹果漏洞。如果去掉2017年Pwn2Own上收获的漏洞,那么苹果今年上半年漏洞报告数量就环比增长了36%。而且,ZDI手中等待修复的30个苹果安全漏洞也印证了这一点。
SCADA:SCADA漏洞报告数量简直就是激增,占据了上半年ZDI收到漏洞提交总数的30%。普罗大众并没有意识到SCADA产品也是IoT控制的一种,可以造成的影响远不仅止基础设施和制造业。SCADA漏洞的猛增,源自Advantech、Delta Industrial 和Omron产品中被上报的漏洞。
ZDI发布了132个Advantech安全警报,占今年截至目前全部漏洞报告的22%。Delta advisories 安全警报26个,Omron安全警报22个,各自贡献了安全警报总数的4%。
Adobe:2018年1月到6月,Adobe漏洞报告数相比去年同期仅增加了2个。换句话说,ZDI发布了94个Adobe安全警报,占今年安全警报总数的16%,而去年同期这个占比是20%。Adobe漏洞份额上减少的这4%,贡献到了SCADA漏洞增加的那30%中。
虚拟化软件:与安全研究人员在虚拟化软件中追捕漏洞有关的另一趋势。此类漏洞报告增幅达到了令人难以置信的275%!今年Pwn2Own上曝出的 Oracle VirtualBox 漏洞,再加上ZDI收到的VMware漏洞报告,充分表明了虚拟化产品安全研究方兴未艾。
所有迹象都指向了漏洞研究的持续成长,以及2018年下半年新漏洞报告率的增加。ZDI指出,难以预测2018年剩下的时光会是个什么情况,但如果以2017作为参考,未来半年可能会更忙于应付层出不穷的漏洞。
相关阅读
【黑客字典】虚拟化漏洞:访360 Marvel Team负责人唐青昊
