对于网络黑客来说，那些旧的软件缺陷仍然是最好的可供利用的漏洞。据《2014年惠普网络风险报告》，有惊人证据表明，去年最常利见的软件漏洞是早在2010年夏天就因超级工厂蠕虫病毒震网（Stuxnet）而臭名昭著的Windows XP .lnk缺陷。

这个在公共漏洞和暴露文档中标号为CVE-2010-2568的漏洞，自己就占了检测出的针对企业客户攻击漏洞的三分之一，超过早先Adobe PDF阅读器和PDF制作器Acrobat缺陷的11%。

排在列表前十名的其他漏洞都不值一提，主要包括早在2012年Java漏洞、2013年的微软Office漏洞以及可追溯到2009年9月的CVE-2009-3129号漏洞。

震网蠕虫病毒缺陷的利用并非偶然，出于习惯，一直会有人对遗留下来的老的漏洞进行尝试。与其他大多数老的漏洞不同的是，利用该缺陷进行的攻击实际上在去年一直在增长。

相比之下，2014年发现的30个最受欢迎的缺陷中受到的攻击最有针对性的，是去年2月的IE10远程代码执行零日漏洞CVE-2014- 0322，其次是CVE-2014-0307，同样也在IE中。去年发现的十大漏洞主要包含在火狐、Office、Windows中，惠普称，Java可能会最终跃上安全问题榜首。

惠普企业安全产品高级副总裁阿特·吉利兰说，“我们知道，许多安全风险最大的问题已经提了几十年，各组织没必要进行披露。”

惠普没有给出绝对的数字比较，但计算出了44%的缺陷来自两至四岁的漏洞。

“我们不能通过将安全托付给下一代银弹技术，就忽视了这些已知漏洞的防御。然而，,组织还是必须要使用基本安全策略来解决已知的漏洞，以消除大量的风险。”

惠普称，总体而言，惠普的零日漏洞主动性活动（ZDI）已经成功处理了创纪录的数量。

另外，据惠普，最常见的非windows漏洞是2013年7月发现的安卓系统主密钥漏洞CVE-2013-4787，占所有样本的1%。

安全牛评：不要在一件事情上栽倒两次的警语人人都知道，这句话在信息安全工作中更是重中之重。亡羊补牢，为时未晚。亡羊不补，要牢何用？