【51CTO.com獨家翻譯】Apache、Citrix、IBM、SAP、Sun和Symantec連同其它公司共同選出了2009年上半年十種最嚴重的軟件漏洞。根據檢測到的軟件漏洞的數量來看，近乎九成的web應用程序都帶有可能導致敏感信息泄漏的安全漏洞。

根據Cenzic在周一發布的《2009年1～2季度web應用安全趨勢報告》稱，今年上半年發現了3100多個安全漏洞，比2008年下半年發現的漏洞數量增加了10%以上。

在所有這些安全漏洞中，其中78%為Web應用程序漏洞，這一比率與2008年的下半年相比有所下降，但是卻高于去年上半年的水平。SANS協會在九月份發表的“頂級信息安全威脅”報告中指出，超過60%的攻擊企圖都是針對因特網上的web應用程序的。Cenzic的報告指出，對于這些Web應用程序漏洞，百分之九十的漏洞是在商業Web應用程序中發現的，同時有8%的漏洞存在于運行web應用程序的瀏覽器中。

受十大安全漏洞影響的軟件制造商包括PHP、SAP、Sun、Citrix、Apache、F5 Networks、Symantec和IBM。據Cenzic稱，SQL注入和跨站腳本攻擊漏洞在所有Web攻擊中分別占據25%和17%的數量。

Cenzic的報告聲稱，在接受分析的web應用程序中有87%的程序具有嚴重的安全漏洞，這些漏洞足以導致在交易過程中泄漏敏感或者機密的用戶信息。在2008年的第二季度，該數量為78%。

就瀏覽器的漏洞而言，Firefox和Safari的漏洞數量遙遙領先，而Google Chrome的漏洞數量則要少得多。該報告指出，Mozilla Firefox漏洞所占比例最高，為44%。令人驚訝的是，Safari瀏覽器的漏洞數量竟然也占到了35%，這可能由于iPhone Safari的漏洞數量也算進來的緣故。 Internet Explorer的漏洞數量為15%，位居第三，而Opera的漏洞數量僅占總漏洞數量的6%。

近年來，Mozilla的Firefox一直趨向于高過Internet Explorer的漏洞數量，不過Firefox的缺陷的修復速度要比Internet Explorer快得多。因此，Mozilla辯稱，人們應當將用戶受漏洞威脅的天數，而非漏洞的數量來作為衡量安全的尺度。

Firefox團隊的成員還表示，Firefox和Internet Explorer的安全性無法進行簡單的比較，因為Mozilla的安全處理是開放式的，而微軟的安全漏洞處理過程是封閉式的。

Mozilla公司的Johnathan Nightingale為上述言論發出了一封電子郵件進行注釋，“Cenzic的報告看起來好像是通過安全漏洞數量的總和來度量安全性的，而我們早就指出這種度量方式是有缺陷的”。 “甚至有跡象表明，微軟公司也開始注意這個問題：Steve Lipner最近在接受采訪時就說過，不能通過統計安全漏洞的數量來考量微軟公司SDL的成功?！蔽④浌景l言人沒有立即對此作出解釋，只是說其安全開發生命周期是降低了其產品中漏洞的數量的一個原因。

Nightingale還指出Cenzic的報告中瀏覽器缺陷很大程度上要歸咎于插件軟件，而Mozilla最近將推出一項插件檢查服務來改善插件的安全性。

【51CTO.COM 獨家翻譯，轉載請注明出處及作者！】 

【編輯推薦】

1. 保護信息安全 專家稱行業自律比立法更重要
2. Adobe Shockwave Player 的2009年11月第一次更新
3. 趨勢退出VB100病毒測試 強調評測與病毒的不對等博弈
4. 趨勢科技：云安全是安全領域的一場工業革命
5. 2009年世界頂級殺毒軟件排行(ToptenReviews)
6. 51CTO云安全專題頁
7. 企業需要在應用程序開發時保證數據安全
8. “云”火墻讓Cisco防火墻能夠與眾不同