微軟產(chǎn)品漏洞 2020 年創(chuàng) 1268 個新高,Windows 占 907 個
BeyondTrust 發(fā)布的一份《2021 年度微軟漏洞報告》指出,2020 年發(fā)現(xiàn)的微軟漏洞數(shù)量創(chuàng)歷史新高達到 1268 個,同比增長 48%。其中,Windows 是漏洞數(shù)最多的地方;存在 907 個問題,并且有 132 個是關(guān)鍵性漏洞。
該報告研究了微軟在過去一年發(fā)布的安全公告(即補丁星期二)中的漏洞數(shù)據(jù)。數(shù)據(jù)顯示,全世界每三個漏洞中就有一個是未修補的漏洞;而每天使用 Windows 操作系統(tǒng)的人數(shù)大約有 15 億。"Windows 10 在發(fā)布時被吹捧為迄今為止'最安全的 Windows 操作系統(tǒng)',但它在去年仍然出現(xiàn)了 132 個關(guān)鍵性漏洞......取消管理員權(quán)限可以緩解這些關(guān)鍵漏洞中的 70%。"
報告中的一些其他主要發(fā)現(xiàn)還包括有:
- 在過去五年(2016-2020)中,報告的漏洞數(shù)量驚人地增長了 181%
- 一種在 2020 年緩解 56% 的所有微軟關(guān)鍵性漏洞的簡單方法
- “提權(quán)”首次成為第一大漏洞類別,占總數(shù)的 44%,是前一年的近三倍
對此,微軟則暫未予置評。
報告指出,Windows Server 的關(guān)鍵性問題數(shù)量最多。2020 年,微軟安全公告中總共報告了 902 個影響 Windows Server 的漏洞,相較上一年增加了 35%。而在具有嚴重評級的 138 個漏洞中,有 66% 可以通過刪除管理員權(quán)限來緩解。
Microsoft Edge 和 Internet Explorer 8、9、10 和 11 在 2020 年總共發(fā)現(xiàn)了 92 個漏洞,其中 61 個(66%)被確定為關(guān)鍵性漏洞。報告指出,2020 年期間,IE8、9、10 和 11 中存在 27 個關(guān)鍵漏洞。取消管理員權(quán)限可以緩解其中的 24 個,消除 89% 的風險。Edge 的關(guān)鍵漏洞去年有所減少,從 86 個減少到 34 個。在這 34 個漏洞中,取消管理員權(quán)限可以緩解其中的 29 個(85%)。
在微軟 Office 中,Excel、Word、PowerPoint、Visio、Publisher 和其他 Office 產(chǎn)品中存在 79 個漏洞。其中,只有 5 個被認為是關(guān)鍵性的;在所有的 Office 產(chǎn)品中,取消管理員權(quán)限就可以緩解其中的 4 個漏洞。
此外,特權(quán)提升漏洞的數(shù)量同比幾乎增加了兩倍。從 2019 年的 198 個增加到 2020 年的 559 個,占 2020 年所有微軟漏洞的 44%,所占比例最大。報告稱,56% 的微軟關(guān)鍵漏洞可以通過刪除管理員權(quán)限來緩解。“強制執(zhí)行最小特權(quán)是解決這個問題的最快、最有效的措施。”
微軟 MVP 和道德黑客 Sami Laiho 也表示,“取消管理員權(quán)限提供了很好的主動保護。我們需要保護執(zhí)行惡意有效載荷的組件,特別是在瀏覽網(wǎng)頁或閱讀電子郵件的重要應(yīng)用程序中。本報告中的數(shù)字證明,移除管理員權(quán)限將為你的 Outlook、Office、IE 和 Edge 提供保護。”
報告地址:https://www.beyondtrust.com/resources/whitepapers/microsoft-vulnerability-report
本文轉(zhuǎn)自O(shè)SCHINA
本文標題:微軟產(chǎn)品漏洞 2020 年創(chuàng) 1268 個新高,Windows 占 907 個
本文地址:https://www.oschina.net/news/146322/microsoft-product-vulnerabilities-2020
