當前位置: > >研究:1/4零時差漏洞平均壽命長達9.5年

研究:1/4零時差漏洞平均壽命長達9.5年

03-18,IT資訊研究:1/4零時差漏洞平均壽命長達9.5年最新消息報導,口袋科技網(http://www.fbajfi.live)IT資訊

公共政策研究組織RAND Corporation上周發布了一項鎖定逾200個零時差漏洞的研究報告,指出這些零時差漏洞的平均壽命約為6.9年,只有25%的壽命低于1.51年,并有25%的壽命長達9.5年。

這份報告所調查的零時差漏洞有些特別,因為它們并非來自製造商的資料,也非是已被公開揭露的零時差漏洞,而是RAND與其他機構合作所取得的私人零時差漏洞資訊,目的是為了理解攻擊程式的開發產業,同時可作為揭露或藏私漏洞的政策參考。

RAND將這200個零時差漏洞分為三類,一是未被公開的現存漏洞,有些可能是因為業者已不再更新或維護程式碼,而成為永垂不朽的漏洞,約佔調查總數的40%。其次是已被揭露的漏洞,有些已修補,而有些則僅有漏洞資訊,第三種則是殭尸漏洞,這類的漏洞只存在于老舊版本而非新版中。

這些零時差漏洞都已出現相對應的攻擊程式,其中,有31.44%的攻擊程式在發現漏洞不到一周就開發完成,有71%的攻擊程式是在30天內出爐,只有10%的攻擊程式耗費90天以上。

該報告的主要作者Lillian Ablon指出,傳統的白帽研究人員多半會在發現漏洞的當下即知會軟體業者,但有些系統滲透測試業者或是灰帽駭客則傾向于把它們藏起來,究竟是要揭露、藏私或是開發攻擊程式則是一項權衡的游戲,特別是對各國政府而言。

Ablon解釋,假設某國政府的對手也知道某個漏洞,那么公開漏洞并推動業者修補即可強化該國的防御能力,倘若這個漏洞只有該國知道,那么保留這個漏洞則會是佔上風的最佳選項。

RAND發表該報告的時機正值維基解密(WikiLeaks)公布CIA網路攻擊火力大批文件Vault 7之際,文件中所提及的Stinger漏洞便是藏匿在英特爾(Intel)舊版的Stinger安全工具中,新版Stinger已被修補,隸屬于RAND所稱的殭尸漏洞。

聲明:

·凡注明為其他媒體來源的信息,均為轉載自其他媒體,轉載并不代表本網贊同其觀點,也不代表本網對其真實性負責。如系原創文章,轉載請注明出處。

·您若對該稿件內容有任何疑問或質疑,請即聯系,本網將迅速給您回應并做處理。

郵箱:[email protected]

+1 已贊
已有8人贊過
評論13

發表評論請 登錄
  • 最新
  • 最熱
評論舉報

請選擇舉報理由

17 13

已收藏
去我的收藏夾 >

已取消收藏
去我的收藏夾 >

7星彩玩法