Secunia：蘋果漏洞最多，第三方軟體漏洞最危險

資安業者Secunia本周公布2010年上半年安全報告，發現蘋果在五年來首度超越甲骨文，成為安全漏洞最多軟體供應商，但第三方應用程式因缺少容易使用的定期更新機制而風險最高。

Secunia列出了產品擁有最多漏洞的十大軟體供應商，平均佔據每年漏洞總數的38%，這十大業者名單五年來變動不大，2005年及今年的名單有7家是一樣的，Secunia也發現這7家業者的漏洞數量五年來有增無減。此外，蘋果首度超越了甲骨文，成為產品漏洞最多的軟體供應商。

根據Secunia以產品漏洞多寡的排序，蘋果位居第一，其他依序是甲骨文、微軟、HP、Adobe、IBM、VMware、思科、Google及Mozilla等。

不過，Secunia認為，漏洞數量的多寡並不代表這些產品的安全與否，只代表因為這些產品是由最受歡迎的業者所開發，才會被揭露較多的安全漏洞。Secunia也指出，缺乏定期更新機制的第三方軟體才是最危險的。

Secunia分析使用者電腦中約來自於14家業者的50種最常見應用程式，其中有26種應用程式來自於微軟，24種來自於第三方應用程式。分析這些應用程式的漏洞發現，今年上半年的XP漏洞有47個、Vista有39個，微軟程式漏洞有62個，但第三方應用程式的漏洞卻高275個，比微軟產品漏洞總和148個還多。

近年來研究人員及駭客逐漸鎖定第三方應用程式漏洞，Secunia說，這是因為微軟開始強化安全功能並啟用自動更新機制修補漏洞，而使得駭客攻陷視窗作業系統的機會變少，但修補第三方應用軟體的問題可能要幾年的時間才有辦法解決。

例如近來針對第三方業者─Adobe Flash Player與Adobe Reader的攻擊行動增多，而迫使Adobe更迅速地修補漏洞。即使如此，採用有效更新機制的業者仍非常有限，只有微軟、Google、Mozilla、Adobe或其他少數業者，但市場上數千家的第三方軟體供應商則多半疏忽更新機制。

同時，使用者也未意識到系統上的應用程式是不安全的，而且缺乏有效的方法。例如使用者只要按下自動更新就能修補26個微軟程式，但卻要各別自其他13家業者更新剩下的24個程式。

另一方面，Secunia也發現市場上約有一半的第三方軟體皆未能善加利用微軟所開發的視窗安全功能。例如蘋果Quicktime、Foxit Reader、Google Picasa、Java與OpenOffice.org都不支援視窗中的位址空間編排隨機化（Address Space Layout Randomization，ASLR）與資料執行保護（Data Execution Protection，DEP）等安全功能，這兩項功能都能防止系統執行未經授權的應用程式。（編譯/陳曉莉）