信息來源:賽迪網(wǎng)
賽迪網(wǎng)訊】根據(jù)匯總CVE數(shù)據(jù)的網(wǎng)站出具的2016年度CVE Details報告顯示,Andriod系統(tǒng)以523個漏洞位居產(chǎn)品漏洞數(shù)量榜首,成為名符其實的第一名。而Adobe也持續(xù)作為頭號種子,以1,383個漏洞繼續(xù)位列軟件供應(yīng)商的第一名。
CVE Details是美國政府管理下的國家漏洞數(shù)據(jù)庫通用漏洞披露信息網(wǎng)站,CVE Details通過追蹤CVE編號來進(jìn)行漏洞數(shù)據(jù)統(tǒng)計,而CVE編號則是業(yè)內(nèi)通常使用的漏洞追蹤方式。
其實CVE數(shù)據(jù)的統(tǒng)計也是存在漏洞的,比如Mac OS X在表中被算作一個項目,而Windows的每個版本單獨算一個項目。雖然安全漏洞看上去非常的多,但是我們普通用戶大可不必?fù)?dān)心只要提高警惕基本都不會中招。
CVE 據(jù)有以下特點:
1.漏洞和暴露的名稱
2.描述每種漏洞或者暴露的一種標(biāo)準(zhǔn)
3.字典而不是數(shù)據(jù)庫
4.不同的數(shù)據(jù)庫和工具用同一種語言交流。
5.提供互操作性和更好的安全覆蓋
6.安全工具和數(shù)據(jù)庫評估的基礎(chǔ)
7.公眾可以免費下載和使用
為何安卓的漏洞較多:
1.各種靠譜和不靠譜的硬件廠商貢獻(xiàn)了“安全性參差不齊”的安卓代碼。
2.Android 本身處于快速發(fā)展期,不像 Windows 等系統(tǒng)已經(jīng)處在成熟、穩(wěn)定的“壯年期”,代碼走向成熟是需要時間的。
3.隨著移動生態(tài)的發(fā)展,安卓漏洞研究社區(qū)很活躍,有越來越多的人關(guān)注Android 漏洞,方法、工具都不斷出現(xiàn)和被改良。
看看Android的幾個高危漏洞:
漏洞編號為CVE-2016-5195, Linux 內(nèi)核臟牛漏洞允許攻擊者在內(nèi)核操作中不斷提升自己的權(quán)限并作為合法用戶來執(zhí)行遠(yuǎn)程代碼,換而言之就是該漏洞能夠讓攻擊者在Linux設(shè)備上獲得root權(quán)限,Android 系統(tǒng)無一幸免。而·該漏洞的作者甚至為臟牛漏洞申請了獨立的網(wǎng)站、推特賬號。
漏洞編號為CVE-2016-5696,利用這個漏洞,可以悄無聲息地潛入在受害用戶的安卓手機,植入釣魚木馬,盜走電子賬戶上所有的錢,拷貝相冊中的照片,偽造受害用戶身份進(jìn)行欺詐等。
Google Project Zero安全團隊成員Mark Brand披露的,編號CVE 2016-3861,該漏洞允許攻擊者執(zhí)行惡意程序或本地提權(quán)。Brand稱該漏洞極端危險,因為它可以通過多種方式利用。他同時披露了漏洞利用代碼。
漏洞編號CVE-2016-3862,類似Stagefright,能通過發(fā)送惡意圖像文件利用,其中惡意代碼能被隱藏在圖像嵌入的Exif數(shù)據(jù)中。受害者無需任何操作就能遭到入侵。
看了以上內(nèi)容大家也不必誠惶誠恐,看待這個漏洞應(yīng)該“多維度”,不同廠商的產(chǎn)品數(shù)量不同,產(chǎn)品數(shù)量多的在概率上來講必定會出更多漏洞。另外漏洞數(shù)量不一定和安全性劃等號,因為不同廠商對漏洞判定的標(biāo)準(zhǔn)不同。
就安卓系統(tǒng)來講,雖然2016年確實被發(fā)現(xiàn)和曝光了諸多漏洞,但是漏洞的及時發(fā)現(xiàn)是快速解決的前提,同時也能盡量減小漏洞對用戶的洞影響和危害。所以,軟件漏洞得到曝光和發(fā)現(xiàn),在某種層面也具有一定的積極意義,不能簡單的說安卓就是一款“漏洞百出”的軟件?!霸绨l(fā)現(xiàn)早治療”效果會更好!