【51CTO.com獨家翻譯】Apache、Citrix、IBM、SAP、Sun和Symantec連同其它公司共同選出了2009年上半年十種最嚴重的軟件漏洞。根據檢測到的軟件漏洞的數(shù)量來看，近乎九成的web應用程序都帶有可能導致敏感信息泄漏的安全漏洞。

根據Cenzic在周一發(fā)布的《2009年1～2季度web應用安全趨勢報告》稱，今年上半年發(fā)現(xiàn)了3100多個安全漏洞，比2008年下半年發(fā)現(xiàn)的漏洞數(shù)量增加了10%以上。

在所有這些安全漏洞中，其中78%為Web應用程序漏洞，這一比率與2008年的下半年相比有所下降，但是卻高于去年上半年的水平。SANS協(xié)會在九月份發(fā)表的“頂級信息安全威脅”報告中指出，超過60%的攻擊企圖都是針對因特網上的web應用程序的。Cenzic的報告指出，對于這些Web應用程序漏洞，百分之九十的漏洞是在商業(yè)Web應用程序中發(fā)現(xiàn)的，同時有8%的漏洞存在于運行web應用程序的瀏覽器中。

受十大安全漏洞影響的軟件制造商包括PHP、SAP、Sun、Citrix、Apache、F5 Networks、Symantec和IBM。據Cenzic稱，SQL注入和跨站腳本攻擊漏洞在所有Web攻擊中分別占據25%和17%的數(shù)量。

Cenzic的報告聲稱，在接受分析的web應用程序中有87%的程序具有嚴重的安全漏洞，這些漏洞足以導致在交易過程中泄漏敏感或者機密的用戶信息。在2008年的第二季度，該數(shù)量為78%。

就瀏覽器的漏洞而言，F(xiàn)irefox和Safari的漏洞數(shù)量遙遙領先，而Google Chrome的漏洞數(shù)量則要少得多。該報告指出，Mozilla Firefox漏洞所占比例最高，為44%。令人驚訝的是，Safari瀏覽器的漏洞數(shù)量竟然也占到了35%，這可能由于iPhone Safari的漏洞數(shù)量也算進來的緣故。 Internet Explorer的漏洞數(shù)量為15%，位居第三，而Opera的漏洞數(shù)量僅占總漏洞數(shù)量的6%。

近年來，Mozilla的Firefox一直趨向于高過Internet Explorer的漏洞數(shù)量，不過Firefox的缺陷的修復速度要比Internet Explorer快得多。因此，Mozilla辯稱，人們應當將用戶受漏洞威脅的天數(shù)，而非漏洞的數(shù)量來作為衡量安全的尺度。

Firefox團隊的成員還表示，F(xiàn)irefox和Internet Explorer的安全性無法進行簡單的比較，因為Mozilla的安全處理是開放式的，而微軟的安全漏洞處理過程是封閉式的。

Mozilla公司的Johnathan Nightingale為上述言論發(fā)出了一封電子郵件進行注釋，“Cenzic的報告看起來好像是通過安全漏洞數(shù)量的總和來度量安全性的，而我們早就指出這種度量方式是有缺陷的”。 “甚至有跡象表明，微軟公司也開始注意這個問題：Steve Lipner最近在接受采訪時就說過，不能通過統(tǒng)計安全漏洞的數(shù)量來考量微軟公司SDL的成功?！蔽④浌景l(fā)言人沒有立即對此作出解釋，只是說其安全開發(fā)生命周期是降低了其產品中漏洞的數(shù)量的一個原因。

Nightingale還指出Cenzic的報告中瀏覽器缺陷很大程度上要歸咎于插件軟件，而Mozilla最近將推出一項插件檢查服務來改善插件的安全性。

【51CTO.COM 獨家翻譯，轉載請注明出處及作者！】 

【編輯推薦】

1. 保護信息安全 專家稱行業(yè)自律比立法更重要
2. Adobe Shockwave Player 的2009年11月第一次更新
3. 趨勢退出VB100病毒測試 強調評測與病毒的不對等博弈
4. 趨勢科技：云安全是安全領域的一場工業(yè)革命
5. 2009年世界頂級殺毒軟件排行(ToptenReviews)
6. 51CTO云安全專題頁
7. 企業(yè)需要在應用程序開發(fā)時保證數(shù)據安全
8. “云”火墻讓Cisco防火墻能夠與眾不同