[新聞] Firefox、Adobe弱點最多

plus724254

ZDNet新聞專區：Elinor Mills
2009/12/18 12:47:02

　軟體弱點管理公司Qualys收集的數據顯示，Firefox是今年被通報最多弱點的應用軟體，而Adobe軟體的漏洞也比去年增加三倍以上。

　Qualys統計的Firefox漏洞高達102個，比去年增加90%。這些數據是根據美國國家漏洞資料庫（National Vulnerability Database）的紀錄。

　然而，Firefox的弱點多不代表這個網路瀏覽器的程式錯誤最多，只是它被通報的漏洞最多。Qualys技術長Wolfgang Kandek表示，由於Firefox是開原碼軟體，所有漏洞皆公開揭露，不像專有軟體，如Adobe和微軟，通常只公開外部研究員抓到的漏洞，內部發現的問題則隱匿不報。

　Adobe今年取代微軟，高居漏洞榜的第二位。該公司軟體被通報的弱點，從去年的14個竄升到今年的45個，而微軟則從44個降至41個。在微軟眾多的產品中，Internet Explorer、Windows Media Player和Office就囊括當中的30個。

　Kandek指出，這些數據顯示攻擊者已將焦點從作業系統轉到應用軟體。他說：「作業系統變得更穩定且更難攻擊，因此攻擊者便轉移到應用軟體。Adobe現在是一大目標，大約比微軟Office高出10倍。然而，其他廣泛被鎖定的目標，如IE和Firefox，仍然非常不安全。」

　F-Secure今年稍早公佈的調查結果，也證明Adobe軟體現在是比微軟軟體更熱門的目標。單在2009年第一季，F-Secure就發現663個目標性攻擊檔，當中最普遍的格式為PDF，比率將近50%。其次是微軟Word檔，約佔40%。而後是Excel的7%和PowerPoint的4.5%。

　2008年的數據是1,968個目標性攻擊，其中Word將近35%，排名第二的Reader佔28%以上，Excel攻擊檔約20%，PowerPoint約17%。

　由此可見，Adobe需要效法微軟在2002年的作法。當時微軟推出其Trustworthy Computing（可信任運算）方案，將產品安全防護提升為全公司的首要任務。F-Secure甚至建議民眾停止使用Reader，改用其他PDF閱讀器。

　Adobe已採取若干行動。該公司在5月份宣布，今後將固定每季發佈安全更新。微軟目前採每月定期更新。

　另一項本週公佈的研究結果，鎖定使用者風險最高的應用軟體。Bit9表示，在Windows系統執行、弱點最多且沒有自動更新的軟體，以Firefox居首，接著是Adobe Reader和蘋果QuickTime。

　Bit9根據國家弱點資料庫所整理的高風險軟體名單，還包括Java、Flash Player、Safari、Shockwave、Acrobat、Opera、Real Player和Trillian。去年上榜的軟體包括Skype、Yahoo IM和AOL IM，但今年這三項軟體已不在榜上。

　微軟和Google的軟體都沒上榜，因為他們都可自動安裝修補程式。微軟是透過Microsoft Systems Management Server或Windows Server Update Services自動更新，而Google Chrome會在使用者連上網路時自動更新。

　這份榜單沒有計入公司發佈修補方案所花的時間，尤其是在攻擊程式已經散佈的情況。Bit9表示，微軟IE值得一座「榮譽獎」，因為今年7月份一個ActiveX相關的零時差弱點，竟拖了整整三週才提供修補。

　微軟不是唯一的慢郎中。今年3月，Adobe針對Reader和Acrobat發佈的零時差修補方案，距離該弱點被發現已經兩週，而相關的攻擊更已散佈近兩個月。

　最近一個Reader和Acrobat的零時差漏洞，Adobe顧客必須再等一個月左右，才能得到解決。該公司17日宣布，將在下一次季度安全更新日，也就是1月12日，修補這項弱點。（陳智文/譯）

a26264549

話說
好像IE弱點更多...
好像是因為很多人用IE的關西  

l68522g

我是用FIREFOX  連這個都漏洞百出 都不知道有什麼網頁瀏覽器可以用嚕

上杉倉

以前我用IE就很會中毒
現在用火狐就還好啊@@"
而且很多設定都很人性化 用起來很順手耶0.0+