原标题:研究:1/4零时差漏洞平均寿命长达9.5年
示意图,与新闻事件无关。
公共政策研究组织RAND Corporation上周发布了一项锁定逾200个零时差漏洞的研究报告,指出这些零时差漏洞的平均寿命约为6.9年,只有25%的寿命低于1.51年,并有25%的寿命长达9.5年。
这份报告所调查的零时差漏洞有些特别,因为它们并非来自製造商的资料,也非是已被公开揭露的零时差漏洞,而是RAND与其他机构合作所取得的私人零时差漏洞资讯,目的是为了理解攻击程式的开发产业,同时可作为揭露或藏私漏洞的政策参考。
RAND将这200个零时差漏洞分为三类,一是未被公开的现存漏洞,有些可能是因为业者已不再更新或维护程式码,而成为永垂不朽的漏洞,约佔调查总数的40%。其次是已被揭露的漏洞,有些已修补,而有些则仅有漏洞资讯,第三种则是殭尸漏洞,这类的漏洞只存在于老旧版本而非新版中。
这些零时差漏洞都已出现相对应的攻击程式,其中,有31.44%的攻击程式在发现漏洞不到一周就开发完成,有71%的攻击程式是在30天内出炉,只有10%的攻击程式耗费90天以上。
该报告的主要作者Lillian Ablon指出,传统的白帽研究人员多半会在发现漏洞的当下即知会软体业者,但有些系统渗透测试业者或是灰帽骇客则倾向于把它们藏起来,究竟是要揭露、藏私或是开发攻击程式则是一项权衡的游戏,特别是对各国政府而言。
Ablon解释,假设某国政府的对手也知道某个漏洞,那幺公开漏洞并推动业者修补即可强化该国的防御能力,倘若这个漏洞只有该国知道,那幺保留这个漏洞则会是佔上风的最佳选项。
RAND发表该报告的时机正值维基解密(WikiLeaks)公布CIA网路攻击火力大批文件Vault 7之际,文件中所提及的Stinger漏洞便是藏匿在英特尔(Intel)旧版的Stinger安全工具中,新版Stinger已被修补,隶属于RAND所称的殭尸漏洞。
相关:
自美国新总统特朗普入主白宫后,头一次发生了白宫遭人无端闯入的事件。据CNN报道,10日夜门11点38分,一名背著背包的男子翻越白宫围墙,进入白宫之內。华盛顿特区警方宣布,该男子是加利福尼亚州米尔皮塔斯的詹森-特
继学者发动连署反对不当修野保法,动保团体还发现现行跟官版草案条文都锁定“经饲养之野生动物”放生须申请获准,恐让购买及人工繁殖2类动物放生不违法。中山大学生物科学系副教授颜圣纮、台湾大学森林环境暨资源学
(中央社巴黎9日综合外电报道)根据最新出炉的报告,身材矮小的欧洲男性得面对的疾病与伤自尊清单又多了1项,那就是早秃机率较高。法新社报道,波昂大学(University of Bonn)教授海尔曼海姆巴赫(Stefanie Heilman
研究:3成7网站使用过时或有漏洞的JavaScript函式库
示意图,与新闻事件无关。 美国东北大学(Northeastern University)电脑暨资讯科学学院的研究人员近日公布了一项关乎网路上使用JavaScript函式库的分析报告,在所调查的13.3万个网站中,有37%的网站使用了至少1个
维基解密创办人:将和苹果、Google等厂商合作修补CIA锁定的漏洞
维基解密创办人Julian Assange 图片来源: Wikileaks 本周维基解密(Wikileaks)爆料CIA系统性建立骇客工具,入侵知名科技公司包括苹果、三星及Google的产品,周四维基解密创办人Julian Assange透过线上记者会表示将