不要奇怪 XP震網病毒缺陷或為2014最大軟體漏洞

本文講的是 不要奇怪 XP震網病毒缺陷或為2014最大軟體漏洞，對于網絡黑客來說，那些舊的軟體缺陷仍然是最好的可供利用的漏洞。據《2014年惠普網絡風險報告》，有驚人證據表明，去年最常利見的軟體漏洞是早在2010年夏天就因超級工廠蠕蟲病毒震網（Stuxnet）而臭名昭著的Windows XP .lnk缺陷。

這個在公共漏洞和暴露文檔中标号為CVE-2010-2568的漏洞，自己就占了檢測出的針對企業客戶攻擊漏洞的三分之一，超過早先Adobe PDF閱讀器和PDF制作器Acrobat缺陷的11%。

排在清單前十名的其他漏洞都不值一提，主要包括早在2012年Java漏洞、2013年的微軟Office漏洞以及可追溯到2009年9月的CVE-2009-3129号漏洞。

震網蠕蟲病毒缺陷的利用并非偶然，出于習慣，一直會有人對遺留下來的老的漏洞進行嘗試。與其他大多數老的漏洞不同的是，利用該缺陷進行的攻擊實際上在去年一直在增長。

相比之下，2014年發現的30個最受歡迎的缺陷中受到的攻擊最有針對性的，是去年2月的IE10遠端代碼執行零日漏洞CVE-2014- 0322，其次是CVE-2014-0307，同樣也在IE中。去年發現的十大漏洞主要包含在火狐、Office、Windows中，惠普稱，Java可能會最終躍上安全問題榜首。

惠普企業安全産品進階副總裁阿特·吉利蘭說，“我們知道，許多安全風險最大的問題已經提了幾十年，各組織沒必要進行披露。”

惠普沒有給出絕對的數字比較，但計算出了44%的缺陷來自兩至四歲的漏洞。

“我們不能通過将安全托付給下一代銀彈技術，就忽視了這些已知漏洞的防禦。然而，,組織還是必須要使用基本安全政策來解決已知的漏洞，以消除大量的風險。”

惠普稱，總體而言，惠普的零日漏洞主動性活動（ZDI）已經成功處理了創紀錄的數量。

另外，據惠普，最常見的非windows漏洞是2013年7月發現的安卓系統主密鑰漏洞CVE-2013-4787，占所有樣本的1%。

安全牛評：不要在一件事情上栽倒兩次的警語人人都知道，這句話在資訊安全工作中更是重中之重。亡羊補牢，為時未晚。亡羊不補，要牢何用？

原文釋出時間為：二月 27, 2015

本文作者：phil

本文來自雲栖社群合作夥伴安全牛，了解相關資訊可以關注安全牛。