盘点2006安全漏洞

安全漏洞数目虽然在2006年再次创下了新纪录，但危害严重的漏洞数量有所降低，造成大规模破坏的漏洞也失去了往日的“辉煌”。

在2006年，安全漏洞数目创下了新的纪录。过去的这一年，安全漏洞数量的增加主要归功于漏洞猎手和软件制造商在发现漏洞方面的技术更加娴熟，自动审核工具也有了很大改善。同时现在的软件代码数量也比以前多了许多，因为人们使用了比以往更加复杂的软件。

软件漏洞的增长迹象可以从微软的安全公告得到体现，微软在2006年一共了78项安全补丁，而2005年只了55项。

另外，Symantec公司在其网络安全威胁报告中也指出，在2006年的前六个月中一共记录了2249个新的漏洞，比2005年下半年增加了18％，这是在半年度的记录中最高的数字了。这些新漏洞中有8％是非常容易被攻击者利用的，而企业级产品漏洞的时间窗口一般是28天。

值得欣慰的是，尽管安全漏洞的总数增加了很多，但是“危急”和“高危”漏洞的数量有所降低。这里危急和高危漏洞指的是那些自我扩散的网络蠕虫，或匿名的攻击者可以在远程控制用户计算机的漏洞等。危急和高危漏洞的数字下降可以部分归功为软件质量的提升，我们使用的软件正在变得更安全。另外，很多漏洞猎手已经开始普及使用一些自动化的工具（Fuzzer）来挖掘更多的漏洞。

CVE：漏洞数量呈递增趋势

CVE的英文全称是“Common Vulnerabilities and Exposures”，中文名称是“公共漏洞和暴露”。它是由美国国土安全部（DHS）下属的美国国家应急响应组（US-CERT）发起和主办的，由MITRE公司管理。CVE是一个字典表，它为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。

CVE始建于1999年9月，起初只有321个条目。在2000年10月16日，CVE达到了一个重要的里程碑――超过1000个正式条目。截至2006年12月31日，CVE总条目达到21252个。总体而言，CVE漏洞条目数量呈现递增趋势（见表）。

另一个非常有名的漏洞列表是Bugtraq邮件列表，它由美国的安全焦点(SecurityFocus)维护。目前该列表中的安全漏洞条目达到了20370多条。2006年的漏洞条目达5278条。

SANS：黑客锁定攻击目标

2000年，美国SANS 协会（SANS Institute）和美国联邦调查局（FBI）的国家基础设施保护中心（NIPC）了一份文件，整理出前十大严重的安全漏洞，并在接下来的几年内增列成前二十大安全漏洞列表。数以千计的组织都参考这份文件，让管理者们能够优先对最严重的漏洞进行修补。引发Blaster、Slammer、Code Red以及NIMDA等网络蠕虫的漏洞都名列榜上。

这份列表依严重性列出了需要立即修补的漏洞，这是一群首席安全专家合作的成果。这些专家来源于对安全性极端敏感的英、美及新加坡政府机构、安全软件厂商龙头与顾问公司、顶尖的安全研究学术单位，以及许多其他使用者组织和SANS协会。SANS前20大漏洞列表是一个始终在更新的、永不停息的文件。它包含了关于漏洞修补的详细步骤、指令与进一步的有用参考资讯，一旦发现更严重的威胁、更迅速或更方便的保护方式，这个列表就会及时更新并修补说明。

SANS协会在2006年11月15日了SANS Top-20 Internet Security Attack Targets (2006 Annual Update)。SANS Top-20 2006 list并不是累积性的，这个列表只包含2006一年里的最关键漏洞，如果你在很长一段时间内没有对你的系统安装补丁，我们建议你关注一下Top-20 2005 list。

SANS指出，微软IE浏览器和Office软件、苹果Mac OS X操作系统，都是最容易遭受黑客攻击的目标，并且今年有很多零日攻击。

另一个重要趋势是网络应用软件的攻击数量增加，以及来自亚洲和东欧的鱼叉式网络钓鱼诈骗持续增长。所谓的鱼叉式钓鱼诈骗（spear-phishing），是攻击者制作一封看似企业内部信息的电子邮件，发给该公司特定的一群人，诱骗他们开启恶意链接或提供敏感信息。

另外，SANS还指出，网络应用软件、点对点（P2P）文件交换软件、媒体播放器、网络电话（VoIP）和计算机使用者本身都是最容易被黑客锁定的目标。

在最新的SANS Top 20中，VoIP首次被列入重要攻击目标，标号是N1。这表明VoIP的安全问题正在受到越来越多的关注，SANS的这一动作也有助于提高厂商和用户、管理员和经理等对于VoIP安全问题的重视，从而改善VoIP的安全状况。而在Operating Systems（操作系统）一项中，微软的产品占据了绝大部分，比例高达5∶7。

微软：安全漏洞还将上升

美国微软公司对其软件产品安全问题都以安全公告的方式向用户公布。用户可以订阅安全公告，以便通过电子邮件获得公告的详细版本，或者是省略了大量技术细节的简化版本。微软用户总是能够通过 Web 获得公告，除了安全公告之外，还可以通过 Windows Update 服务获得这些通知。

另外，微软 还会就即将的公告预先通知，通知中仅仅介绍了严重等级和受影响的产品，以便用户可以据此调配资源。

公告内容包括：一个唯一标识符、一个受影响产品列表、一个不受影响的产品列表以及一个严重性的最高评级。公告包括了执行摘要、常见问题解答、技术细节、受影响模块的详细信息、命令行选项以及用户请求提供的其他支持信息。摘要和详细信息部分都提供了 CVE 标识符信息，并且介绍了受影响产品的严重等级。

在 2002 年，微软对先前分为三个级别的严重性评级系统进行了更新，以便将那些可以被蠕虫利用的重等级问题（关键等级）与那些无法被蠕虫利用的问题（重要等级）区分开来。

微软 安全公告总是在每个月的第二个星期二，在之前会提供预先的通知，在之后会提供一个交互式的技术 Web 广播。而在此期间，用户可以详细询问许多问题。所有的补丁程序都能通过相应的 微软更新工具获得，也可以从下载中心下载。所有的补丁程序都能通过相应的微软更新工具获得，也可以从下载中心下载。

微软在2006年已经的安全公告共计78个，比2005的55个公告增长了42%。微软的漏洞严重级别分为四级，从高到低依次是：严重、重要、中等、低。2006年的78个安全公告中有49个严重、22个重要、6个中等，还有1个严重级别是低。

微软在2006年了140多个安全漏洞。由于Fuzzers 使用不断上升和给发现漏洞人的丰厚奖励，我们预测漏洞的数量还将上升。今年，微软为关键漏洞所打的补丁数量比2004年和2005年两年的总和还要多。在2006年9月份，2004 年和2005年的62个关键漏洞的数量就已经被打破。

另外我们还注意到紧随微软补丁环节的零日攻击趋势。因为每个月只一次补丁，这使得黑客在每月周二补丁日之后，就可以零日攻击，最大化暴露漏洞。

鉴于微软的安全公告数目之多和危害程度，我们将微软的安全漏洞分为如下几类分别进行介绍。

1．IE安全漏洞

微软为修补Internet Explorer浏览器的安全漏洞，在2006年了6个安全更新、36个安全漏洞，以免黑客趁虚而入劫持Windows PC。这6个安全更新的严重级别都是“严重”。

2．Office安全漏洞

2006年，微软了16个Office安全公告、45个漏洞，Office漏洞数量是2005年的三倍。这是客户端漏洞持续增长趋势的一部分。客户端漏洞是指在客户端应用程序、客户端库函数和DLLs中存在的漏洞。仅在微软Office产品中就发现了约有45个严重和重要的漏洞，其中9个是“零日漏洞”，攻击或者蠕虫可以主动利用这些漏洞，并且没有可用的补丁程序。

在一个典型的攻击场景中，一个用户打开通过邮件收到的恶意的Word或者Excel文档。更危险的是基于Web的场景，当用户浏览Internet时，遇到利用易受攻击的客户端组件的恶意内容，可能会使攻击者控制用户的计算机。

3．ActiveX安全漏洞

ActiveX是Microsoft提出的一组使用COM（Component Object Model，部件对象模型）使得软件部件在网络环境中进行交互的技术集。它与具体的编程语言无关，作为针对Internet应用开发的技术，ActiveX被广泛应用于WEB服务器以及客户端的各个方面。同时，ActiveX技术也被用于方便地创建普通的桌面应用程序。

ActiveX 控件是由软件提供商开发的可重用的软件组件。使用 ActiveX 控件，可以很快地在网址、台式应用程序，以及开发工具中加入特殊的功能。

微软在2006年了11个ActiveX 安全公告、19个漏洞，这11个安全公告的严重等级都是“严重”。

4．其他一些主要安全漏洞

在微软2006年公布的安全漏洞中还包括其他一些主要安全漏洞，比如图形呈现引擎中的漏洞可能允许远程执行代码 (912919)、Server 服务中的漏洞可能允许远程执行代码 (921883)、Windows 内核中的漏洞可能导致远程执行代码 (917422)、Workstation 服务中的漏洞可能允许远程执行代码 (924270)等。

防患于未然

除了上述提到的一些安全漏洞外，其他厂商也了一些安全漏洞。比如，Apple 公司在2006年了22个安全更新（Security Updates），180多个CVE漏洞；Red Hat为它发现的每个安全问题都提供了安全简讯，而且所有问题都使用相同的简讯格式；Oracle公司于2006年1月、4月、7月和10月的最接近15号的星期二重要补丁更新信息；Cisco公司也在2006年了30条安全公告（Security Advisories）、并对2006年以前的5条公告进行了更新。

国家计算机网络入侵防范中心（NCNIPC）也从2002年开始致力于国内外安全漏洞的收集、与分析，在广泛收集国内外各个组织机构和厂商的漏洞的基础上，对漏洞信息进行分析与整理，并在防范中心的网站上，一般每天10条左右漏洞信息，每周评选并一条重大漏洞。截止到2006年12月31日，防范中心共公布重大漏洞205条。

总体来看，2006年安全漏洞数量仍然呈现稳定增长趋势，各大IT公司也了很多安全公告和更新，但并没有发生大规模的网络安全事件。2006年是零日攻击安全漏洞出现最多的一年，针对漏洞的零日攻击和利用网络攻击获取经济利益成为趋势。

但同时我们也欣喜地看到，2006年危害严重的漏洞数量在降低，同时造成大规模破坏的漏洞也失去了往日的“辉煌”，这都归功于软件质量的提升和用户安全意识的提升。

2007年，我们预计公布的漏洞数量仍将上升。需要指出的是，微软在2006年11月推出的网络浏览器IE7.0以及微软最新的Vista操作系统将成为2007年黑客攻击的首选目标。

对于普通用户来讲，进一步提高安全防范意识仍然是预防和解决安全问题的根本要素，及时发现系统中的漏洞并采取安全措施做到防患于未然，无论何时强调都不过分。