新闻快讯
< >

零日计划(ZDI)2017年发布1009份漏洞报告

E安全1月10日讯 趋势科技作为全球规模最大的中立Bug赏金项目支持方,对其2017年ZDI(零日计划)收录的漏洞情况进行了总结,该Bug赏金项目在2017年发布了高达1009项漏洞公告,远高于2016年的700项。相比2016年,2017年的漏洞净增数据量就已经超过了2013年全年的零日漏洞发现量。

零日倡议2017年年度回顾-E安全

2017年漏洞数量有所增加

2017年,趋势科技零日倡议(简称ZDI)全年发布了1009份通告,较2016年增长309份。其中119份(占比近12%)作为零日资讯进行发布——同比增长8%。另外有890项不同问题最终通过与相关供应商的成功协调而共同发布了补丁或者其它缓解措施。这些漏洞报告成为了供应商构建安全补丁的重要依据,趋势科技DVLabs还发布了超过750项预披露过滤条件,用于在保护Trend Micro客户的同时帮助各厂商顺利解决与之相关的问题。

2017年漏洞贡献企业排行榜

来自世界各地的参与者向零日倡议项目发送漏洞报告,这些报告的质量与数量均相当可观。

2016年, Adobe漏洞公告(相较于其它任何单一厂商)在零日倡议项目当中获得最高贡献数量荣誉。2017年这一桂冠被趋势科技的母公司Trend Micro夺得,21%Bug赏金项目中披露的漏洞都是由该公司提供。第二名则是Adobe,其贡献了全部发布漏洞中的18%。紧接着是Foxit,提供的漏洞数量占比10%,而微软与HPE则各自贡献了9%的漏洞公告。

以下为零日倡议项目在2017年所发布漏洞公告的厂商贡献情况:

零日倡议2017年年度回顾-E安全

2017年Adobe公司提交的公告数量相对2016年有所增加,但在Adobe Flash中存在漏洞报告数量较2016年有所减少。在Adobe公司宣布Flash即将退出历史舞台之后,研究人员开始将注意力转向其它方面——即PDF文档。

2017年,由Adobe Reader、Foxit Reader、微软Windows PDF Library以及其它PDF的相关漏洞公告总计数量——接近2017年总体公告中的30%,并且到目前为止,与PDF相关的漏洞提交数据量仍在持续增加,2018年这种趋势或将继续。

这类漏洞报告可能不被接收

当然,趋势科技并没有将bug赏金项目中收到的每一份报告都整理为漏洞公告。事实上,只有36.5%的提交意见以漏洞公告的形式发表。

另外,计算各厂商的报告接纳率也各不相同。例如Adobe、Foxit、微软以及HPE所提交的报告数量都比2017年的“漏洞提交之王”Trend Micro多。部分厂商提供的意见或许更受安全研究人员的欢迎。

趋势科技表示对某些产品、漏洞类型的提交内容不感兴趣,例如跨站脚本(简称XSS)、DLL植入、拒绝服务(简称DOS)、基于Web或在线工具、ActiveX、后验证、大众消费级产品(不包括某些得到广泛使用的安全产品及部分物联网方案)以及任何已经公开发布或者可通过其它方式了解到的内容。趋势科技更倾向于接收高研究价值的相关报告。

漏洞趋势分析

据趋势科技分析,目前的漏洞发布形势已经由Flash转向PDF阅读器,2018年或将出现其它一些明显的转变。

虚拟机

在今年的Pwn2Own大会上,两个不同团队分别展示了如何在VMware环境中完成由访客到主机的切换。自那时起,趋势科技收到了更多与VMware相关的提交内容,外加不少涉及微软Hpyer-V、Joyent SmartOS以及Oracle VM VirtualBox的报告。尽管网络浏览器被普遍认为是通向云端的门户,但虚拟机实际上正是云环境的支柱。安全研究人员们将继续瞄准这些平台,因为虚拟机正越来越多地渗透到我们日常计算体系中的各个角落。

基带

趋势科技在最近的Mobile Pwn2Own大会上看到参赛选手们发布了两种不同的基带利用方法。随着移动计算的普及,流氓基带信号塔可能造成严重破坏,例如,一项简单的基于堆栈缓冲区溢出漏洞即可获取目标手机上实现代码执行的全部必需资源,因此与基带攻击相关的动向值得关注。

JavaScript/JIT

2017年五大有趣bug排名中的两项由趋势科技发现的JavaScript Bug。JavaScript也成为零日倡议项目研究人员接触频率最高的热门议题,JIT Bug同样如此。尽管人们对由编译器引入的Bug早已不再陌生,但对于使用频率最高的编程语言,JavaScript的广泛存在意味着此类编译器所引入的安全漏洞很可能以远程方式触发,JavaScript引擎当中存在的各类高危Bug将会继续得到关注。

零日倡议2017年年度回顾-E安全

展望未来

趋势科技目前已经在“敬请期待”页面中列出了超过300项漏洞公告,这一发布速度仍在加快。2017年Pwn2Own赏金突破83.3万美元(约合人民币541万元)之后,也许2018年的比赛能够冲击100万美元奖金大关。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。