Risk Based Security 公布的《2018 年 3 季度漏洞快報》指出,年內(nèi)曝光的漏洞中,有近一半可被遠程利用、僅 13% 需要本地訪問。 截止三季度末,VulnDB 團隊統(tǒng)計了 16172 個漏洞;與 2017 年同期相比,數(shù)量下降約 7% 。有趣的是,2018 年前三季,僅一月(+4.5%)、二月(+24.6%)、五月(+7.6%)較去年同期有所增長;七月 -1.7%、九月 -40% 。

《2018 年 3 季度漏洞快報》:近50%可被遠程利用

按漏洞暴露位置分類

在 10 月 29 日發(fā)布的統(tǒng)計中: 大約一半漏洞可被遠程利用,約 30% 依賴于關聯(lián)情境;13% 需獲得目標設備的本地訪問權(quán)限,僅 5.8% 影響移動設備。

概念驗證(PoC)類型的漏洞描述,占報告的 43%,另有超過 12% 被野外攻擊利用(而非由發(fā)現(xiàn)它們的研究人員所 開發(fā) )。

《2018 年 3 季度漏洞快報》:近50%可被遠程利用

按漏洞解決方案來分類

值得一提的是,在三季度末報告中, 絕大多數(shù)漏洞都是由“驗證不充分或不正確的輸入”引起的。

這清楚地表明,軟件開發(fā)人員仍需制定強檔的軟件開發(fā)生命周期(SDL)和審計措施,以減少最終產(chǎn)品中包含的安全威脅。

《2018 年 3 季度漏洞快報》:近50%可被遠程利用

按漏洞攻擊類型分類

Risk Based Security 總結(jié)道: “2018 年報告的大量漏洞,已經(jīng)有可用的更新版本或補丁”。

遺憾的是,仍有 24.9% 的漏洞報告,缺乏已知的解決方案。這表明,盡管漏洞修復非常重要,但作為補救措施,還不能完全依賴于它。