根據(jù)微軟的漏洞和威脅分析報告，HTML和Java利用在2011年下半年大幅上漲，這主要是由惱人的自動化工具包造成，它使攻擊相對容易實現(xiàn)。

此外，據(jù)微軟近段時間發(fā)布的微軟安全情報報告第12版，針對HTML弱點和Java漏洞的利用在2011年是主要攻擊。該分析使用的數(shù)據(jù)來自微軟公司安全軟件的用戶(主要是微軟的惡意軟件清除工具的用戶)，其中包括6億多用戶系統(tǒng)。

JS/Blacole，或者更通常被稱為黑洞開發(fā)工具包，被認為是大部分攻擊背后的主謀。該自動化攻擊工具包幫助攻擊者構(gòu)建Zeus、Cutwail、 Spyeye和用于傳播垃圾郵件和惡意軟件的Carberp僵尸網(wǎng)絡(luò)。它還在另一份年度威脅報告中有詳細陳述，該報告由惠普DVLabs在前一段時間發(fā)布，發(fā)現(xiàn)常見Web應(yīng)用漏洞的廣泛利用與黑洞開發(fā)工具包有關(guān)。

HTML和JavaScript是最常見的網(wǎng)站腳本語言，一直深受網(wǎng)絡(luò)犯罪分子們喜愛。一個盛行的攻擊類型還涉及惡意IFrame，這是一種與廣告軟件相關(guān)的攻擊技術(shù)。盡管在瀏覽器中添加了反跨站點腳本(XSS)的功能，攻擊者卻發(fā)現(xiàn)可以成功利用Java的弱點來引誘用戶下載惡意軟件。一份最近來自IBM的X-Force威脅研究小組的年度威脅報告支持了微軟的數(shù)據(jù)。研究發(fā)現(xiàn)，盡管瀏覽器漏洞修復(fù)在不斷增加，但攻擊者通過自動化工具包針對的是瀏覽器組件，而不是瀏覽器。

微軟可信賴計算部門的產(chǎn)品管理總監(jiān) Tim Rains表示，這些攻擊之所以成功，是因為企業(yè)里充斥著弱密碼和未修補漏洞。員工也容易受到社會工程技術(shù)的影響。關(guān)注高級持續(xù)性威脅(APT)或針對性的網(wǎng)絡(luò)攻擊對企業(yè)首席信息安全官們來說都是無用的，因為大多數(shù)人將會受到擁有廣泛基礎(chǔ)的自動化攻擊，Rains解釋道。

Rains說，“我們不認為APT或針對性的攻擊比(目前為止我們有時看到的)自動化攻擊更先進、更復(fù)雜。”

披露的漏洞很少

據(jù)微軟稱，比起2010年，整個行業(yè)在2011年披露的漏洞數(shù)量下降了11.8%。其中，高嚴重性漏洞在2011年上半年下降了31%，基本上延續(xù)了自 2010年上半年以來的下降速率。微軟的數(shù)據(jù)基于漏洞的嚴重性，采用了常見漏洞評分系統(tǒng)(Common Vulnerability Scoring System ，CVSS)的評分方法。

微軟的Rains表示，漏洞披露數(shù)量的整體減少可歸于多種因素。企業(yè)一直在改進他們的軟件開發(fā)過程，包括安全。“漏洞獵人”也在找出新的方式繼續(xù)他們的研究，導(dǎo)致一些人認為關(guān)鍵漏洞未報告。

“我們正試圖改變方法，從以前發(fā)現(xiàn)漏洞到開發(fā)新的緩解和防御程序，使得即使有漏洞，攻擊者也不能接觸到這些漏洞，”他說道。

在SearchSecurity.com網(wǎng)站最近的一次采訪中，微軟安全響應(yīng)中心的高級安全戰(zhàn)略家Katie Moussouris介紹了漏洞披露是如何在改變的。直接與安全研究人員一起工作的Moussouris說，廠商已經(jīng)變得更加敏感，并加大了與研究員的合作。據(jù)Moussouris估計，相對于浮出水面作為零日攻擊的漏洞，80%的漏洞微軟自己知道的。

“我們可以從研究社區(qū)(research community)中學(xué)到很多東西，包括微軟內(nèi)部的和外部的，”Moussouris說道，“其中我們可以尋找會被利用的問題，與研究界的分享合作。”

在披露的漏洞中，應(yīng)用漏洞占了絕大部分，在2011年下半年披露的所有漏洞中，它占71%，其中，應(yīng)用漏洞和Web瀏覽器漏洞的數(shù)量都增加了。與此同時，2011年下半年中被披露的操作系統(tǒng)漏洞的數(shù)量下降超過了34%。微軟表示，至少自2003年以來，這是首次被披露的操作系統(tǒng)漏洞數(shù)量低于被披露的瀏覽器漏洞數(shù)量。

因此，微軟發(fā)布的安全更新也少了。在2011年，微軟安全響應(yīng)中心共發(fā)布了100個安全公告，解決確認了236個個人的公共漏洞問題( CVE，Common Vulnerabilities and Exposures)，它們比起2010年，其數(shù)量分別減少了7%和6%。