弗拉基米尔·贝兹马利| 2016 年 1 月 29 日
有关操作系统和应用软件漏洞的文章已有数千篇。不仅需要更新操作系统,还需要更新应用软件。现在是时候习惯这样的事实了:软件是由人编写的,而人往往会犯错误。
1月27日,Eset公司发布了一份2015年微软软件产品漏洞报告,报告指出Windows用户界面各个组件中的漏洞数量增加了四倍。这些漏洞可被利用来远程执行恶意代码或获取系统的最大权限。
连续第二年,微软软件产品中的大多数漏洞都出现在 Internet Explorer 中(231 个)。不过,与 2014 年(243 个)相比,其数量略有下降。已修补的浏览器漏洞可用于静默安装恶意软件。
在 2015 年推出的新版 Microsoft Edge 浏览器中,报告期内共修复了 27 个漏洞。该产品使用增强的安全设置,这些设置在 Internet Explorer 11 中默认处于禁用状态。
微软软件产品中的一些漏洞已被利用进行攻击。特别是 印度电报数据 磁盘挂载管理器 CVE-2015-1769 的漏洞允许以最大权限从 USB 驱动器运行任意代码。它类似于以前用于传播 Stuxnet 蠕虫的漏洞。 http.sys 系统驱动 程序 CVE-2015-1635 中的漏洞允许远程代码执行、DDoS 攻击或 Windows BSoD。
总体而言,微软在2015 年修复了其产品中的 571 个漏洞 ,比 2014 年增加了三分之一。
看起来这样的数字应该鼓励用户更新他们的操作系统和应用程序。但遗憾的是,事实并非如此。
我们已经讨论过更新运行 Android 的设备所带来的糟糕状况。更新 iOS 设备的情况也很糟糕。更新 Windows Phone 设备的情况 也好不到哪里去。
那么如何在 PC 上更新 Windows 操作系统和应用程序呢?
让我们看一下 Secunia 基于从 20,000 名 PC 用户收集的数据得出的统计数据。
安装了一个或多个不安全程序的PC总数为98.09%,即每100台连接到互联网的PC中,就有98台含有不安全软件。研究人员根据不安全程序的数量获得了以下 PC 分布:
0 - 1.91% PC;
1-5——30.27 % PC;
6-10——25.07 %PC;
11 个或更多不安全程序 - 45.76%的PC。
“不安全软件”是指供应商提供的新版本修复了一个或多个漏洞的软件。不过,用户仍然必须安装更安全的版本。
程序中的漏洞可被攻击者利用自动安装木马(恶意软件)、窃取私人信息等。值得记住的是,没有任何防病毒软件可以防范软件漏洞的威胁。及时安装补丁来修复软件漏洞至关重要。