Cenzic公司的最新報(bào)告顯示，2009年上半年，Mozilla Firefox漏洞占據(jù)了瀏覽器漏洞總量的44%，多過(guò)任何其他的瀏覽器。

Apple的Safari瀏覽器位列第二，其漏洞量占有率為35%，其后是IE（15%）。總部位于加州的滲透測(cè)試廠商Santa Clara說(shuō)，Safari漏洞是由基于Apple iPhone瀏覽器的問(wèn)題引發(fā)的。Cenzic說(shuō)瀏覽器漏洞占所有Web漏洞量的8%。

Cenzic在2009年上半年收集了基于Web的漏洞數(shù)據(jù)，瀏覽器的排名就是由研究審查這些數(shù)據(jù)得出的bug數(shù)來(lái)決定的。這家公司稱其識(shí)別出的3100個(gè)漏洞通告中78%是Web漏洞。

專家警告稱瀏覽器廠商修復(fù)的漏洞的數(shù)目跟其瀏覽器的安全性之間沒(méi)有必然的聯(lián)系。例如，Mozilla可能比其他的瀏覽器廠商在報(bào)告和修復(fù)漏洞方面更主動(dòng)。

Mozilla的安全性和可用性專家Johnathan Nightingale說(shuō)統(tǒng)計(jì)bug數(shù)是在浪費(fèi)時(shí)間。Nightingale提醒了一個(gè)不容忽視的事實(shí)：Mozilla能夠在五六天的時(shí)間內(nèi)向其90%的用戶群提供修復(fù)補(bǔ)丁，這是許多其他的瀏覽器廠商所無(wú)法匹敵的。

Nightingale說(shuō)：“只有在每個(gè)廠商都能夠公開(kāi)其修復(fù)的所有bug信息，并且每個(gè)安全補(bǔ)丁都能夠很好地記錄在案的情況下，才會(huì)產(chǎn)生比較合理的評(píng)估。然而有些廠商并沒(méi)有這么做，或者他們會(huì)通過(guò)將幾個(gè)補(bǔ)丁一起打成包來(lái)減輕漏洞的數(shù)量，這樣以來(lái)他們?cè)谶@些報(bào)告中就會(huì)顯得出色。”

Nightingale說(shuō)，更重要的事實(shí)是，許多用戶使用過(guò)期的第三方瀏覽器控件，這讓攻擊者有機(jī)可乘。Mozillla在十月啟動(dòng)了一種工具，它可以掃描Firefox以檢查過(guò)期的插件。

從2008年的下半年開(kāi)始Web應(yīng)用程序的漏洞數(shù)目增長(zhǎng)量超過(guò)了10%。這些漏洞存在于Web服務(wù)器、應(yīng)用程序、Web瀏覽器、插件和ActiveX控件之中。Cenzic說(shuō)，信息泄露、跨站點(diǎn)腳本(XSS)錯(cuò)誤以及不當(dāng)?shù)纳矸菡J(rèn)證bugs是許多Web應(yīng)用程序的大問(wèn)題。

Cenzic的報(bào)告稱：“現(xiàn)在可購(gòu)買到的應(yīng)用程序的公開(kāi)漏洞中，SQL注入、XSS再次成為最常見(jiàn)的漏洞，這就是為什么在2009年上半年大多數(shù)的攻擊都是對(duì)這兩種漏洞的攻擊，這不是巧合?！?/P>

Cenzic說(shuō)，信息泄露錯(cuò)誤占據(jù)了Cenzic測(cè)試發(fā)現(xiàn)的漏洞的87%。通過(guò)透漏用戶敏感數(shù)據(jù)的Web應(yīng)用程序或開(kāi)發(fā)人員遺留的HTML注釋，黑客能夠收集數(shù)據(jù)并試圖攻擊公司的防線。XSS錯(cuò)誤占據(jù)已知漏洞的73%。這些漏洞使攻擊者能夠向應(yīng)用程序注入惡意代碼，通過(guò)內(nèi)容欺騙或者劫持合法網(wǎng)站來(lái)攻擊訪問(wèn)者。

Cenzic說(shuō)，身份認(rèn)證漏洞也在增長(zhǎng)，占據(jù)了Cenzic 發(fā)現(xiàn)漏洞總量的56%。這些錯(cuò)誤允許用戶在沒(méi)有提供正確認(rèn)證的情況下登錄。有時(shí)，這些錯(cuò)誤會(huì)泄露合法的用戶名和密碼，讓黑客可以輕易地獲取對(duì)系統(tǒng)的訪問(wèn)。

該公司還舉了一些黑客攻擊常見(jiàn)Web漏洞的著名攻擊事件。六月份，黑客對(duì)HSBC和Barclays銀行網(wǎng)站發(fā)起了XSS攻擊。五月份，土耳其黑客通過(guò)SQL注入攻擊的方式，獲取了美國(guó)軍方Web服務(wù)器的底層訪問(wèn)權(quán)限，將網(wǎng)站的頁(yè)面重定向到抗議氣候變化的網(wǎng)頁(yè)。

報(bào)告中指出：“從過(guò)去兩年間發(fā)生的一些非常知名的攻擊中就可以很輕易地看出，許多潛在的攻擊在幾個(gè)月甚至幾年之后才被查出，有些甚至是偶然間被發(fā)現(xiàn)的。我們相信，在被通報(bào)的所有攻擊之外，還有更多數(shù)以百計(jì)的攻擊未被發(fā)現(xiàn)，因?yàn)樵S多公司在被黑客攻擊的時(shí)候并不知情?！?BR>

【編輯推薦】

1. 修正穩(wěn)定性問(wèn)題 Firefox 3.5.5發(fā)布
2. Firefox JavaScript Web-Worker調(diào)用釋放后使用漏洞
3. Windows和Firefox用戶警惕未經(jīng)同意安裝上的插件