信息來源:賽迪網(wǎng)
賽迪網(wǎng)訊】根據(jù)匯總CVE數(shù)據(jù)的網(wǎng)站出具的2016年度CVE Details報告顯示����,Andriod系統(tǒng)以523個漏洞位居產(chǎn)品漏洞數(shù)量榜首�,成為名符其實的第一名。而Adobe也持續(xù)作為頭號種子�,以1,383個漏洞繼續(xù)位列軟件供應商的第一名。
CVE Details是美國政府管理下的國家漏洞數(shù)據(jù)庫通用漏洞披露信息網(wǎng)站�,CVE Details通過追蹤CVE編號來進行漏洞數(shù)據(jù)統(tǒng)計,而CVE編號則是業(yè)內(nèi)通常使用的漏洞追蹤方式�。
其實CVE數(shù)據(jù)的統(tǒng)計也是存在漏洞的�,比如Mac OS X在表中被算作一個項目���,而Windows的每個版本單獨算一個項目�����。雖然安全漏洞看上去非常的多��,但是我們普通用戶大可不必擔心只要提高警惕基本都不會中招��。
CVE 據(jù)有以下特點:
1.漏洞和暴露的名稱
2.描述每種漏洞或者暴露的一種標準
3.字典而不是數(shù)據(jù)庫
4.不同的數(shù)據(jù)庫和工具用同一種語言交流�。
5.提供互操作性和更好的安全覆蓋
6.安全工具和數(shù)據(jù)庫評估的基礎(chǔ)
7.公眾可以免費下載和使用
為何安卓的漏洞較多:
1.各種靠譜和不靠譜的硬件廠商貢獻了“安全性參差不齊”的安卓代碼��。
2.Android 本身處于快速發(fā)展期�����,不像 Windows 等系統(tǒng)已經(jīng)處在成熟��、穩(wěn)定的“壯年期”����,代碼走向成熟是需要時間的。
3.隨著移動生態(tài)的發(fā)展�,安卓漏洞研究社區(qū)很活躍�����,有越來越多的人關(guān)注Android 漏洞�,方法���、工具都不斷出現(xiàn)和被改良。
看看Android的幾個高危漏洞:
漏洞編號為CVE-2016-5195�, Linux 內(nèi)核臟牛漏洞允許攻擊者在內(nèi)核操作中不斷提升自己的權(quán)限并作為合法用戶來執(zhí)行遠程代碼,換而言之就是該漏洞能夠讓攻擊者在Linux設(shè)備上獲得root權(quán)限��,Android 系統(tǒng)無一幸免�����。而·該漏洞的作者甚至為臟牛漏洞申請了獨立的網(wǎng)站����、推特賬號。
漏洞編號為CVE-2016-5696��,利用這個漏洞��,可以悄無聲息地潛入在受害用戶的安卓手機����,植入釣魚木馬�,盜走電子賬戶上所有的錢�,拷貝相冊中的照片,偽造受害用戶身份進行欺詐等��。
Google Project Zero安全團隊成員Mark Brand披露的��,編號CVE 2016-3861�����,該漏洞允許攻擊者執(zhí)行惡意程序或本地提權(quán)��。Brand稱該漏洞極端危險���,因為它可以通過多種方式利用�。他同時披露了漏洞利用代碼��。
漏洞編號CVE-2016-3862����,類似Stagefright,能通過發(fā)送惡意圖像文件利用�����,其中惡意代碼能被隱藏在圖像嵌入的Exif數(shù)據(jù)中。受害者無需任何操作就能遭到入侵���。
看了以上內(nèi)容大家也不必誠惶誠恐�����,看待這個漏洞應該“多維度”,不同廠商的產(chǎn)品數(shù)量不同���,產(chǎn)品數(shù)量多的在概率上來講必定會出更多漏洞�����。另外漏洞數(shù)量不一定和安全性劃等號�����,因為不同廠商對漏洞判定的標準不同����。
就安卓系統(tǒng)來講�����,雖然2016年確實被發(fā)現(xiàn)和曝光了諸多漏洞,但是漏洞的及時發(fā)現(xiàn)是快速解決的前提���,同時也能盡量減小漏洞對用戶的洞影響和危害�����。所以����,軟件漏洞得到曝光和發(fā)現(xiàn)���,在某種層面也具有一定的積極意義���,不能簡單的說安卓就是一款“漏洞百出”的軟件?!霸绨l(fā)現(xiàn)早治療”效果會更好!
