公共政策研究組織RAND Corporation上周發布了一項鎖定逾200個零時差漏洞的研究報告,指出這些零時差漏洞的平均壽命約為6.9年,只有25%的壽命低於1.51年,並有25%的壽命長達9.5年。
這份報告所調查的零時差漏洞有些特別,因為它們並非來自製造商的資料,也非是已被公開揭露的零時差漏洞,而是RAND與其他機構合作所取得的私人零時差漏洞資訊,目的是為了理解攻擊程式的開發產業,同時可作為揭露或藏私漏洞的政策參考。
RAND將這200個零時差漏洞分為三類,一是未被公開的現存漏洞,有些可能是因為業者已不再更新或維護程式碼,而成為永垂不朽的漏洞,約佔調查總數的40%。其次是已被揭露的漏洞,有些已修補,而有些則僅有漏洞資訊,第三種則是殭屍漏洞,這類的漏洞只存在於老舊版本而非新版中。
這些零時差漏洞都已出現相對應的攻擊程式,其中,有31.44%的攻擊程式在發現漏洞不到一周就開發完成,有71%的攻擊程式是在30天內出爐,只有10%的攻擊程式耗費90天以上。
該報告的主要作者Lillian Ablon指出,傳統的白帽研究人員多半會在發現漏洞的當下即知會軟體業者,但有些系統滲透測試業者或是灰帽駭客則傾向於把它們藏起來,究竟是要揭露、藏私或是開發攻擊程式則是一項權衡的遊戲,特別是對各國政府而言。
Ablon解釋,假設某國政府的對手也知道某個漏洞,那麼公開漏洞並推動業者修補即可強化該國的防禦能力,倘若這個漏洞只有該國知道,那麼保留這個漏洞則會是佔上風的最佳選項。
RAND發表該報告的時機正值維基解密(WikiLeaks)公布CIA網路攻擊火力大批文件Vault 7之際,文件中所提及的Stinger漏洞便是藏匿在英特爾(Intel)舊版的Stinger安全工具中,新版Stinger已被修補,隸屬於RAND所稱的殭屍漏洞。
熱門新聞
2024-11-25
2024-11-15
2024-11-15
2024-11-29
2024-11-28
2024-11-25