BeyondTrust 發(fā)布的一份《2021 年度微軟漏洞報告》指出，2020 年發(fā)現(xiàn)的微軟漏洞數(shù)量創(chuàng)歷史新高達(dá)到 1268 個，同比增長 48%。其中，Windows 是漏洞數(shù)最多的地方;存在 907 個問題，并且有 132 個是關(guān)鍵性漏洞。

該報告研究了微軟在過去一年發(fā)布的安全公告(即補(bǔ)丁星期二)中的漏洞數(shù)據(jù)。數(shù)據(jù)顯示，全世界每三個漏洞中就有一個是未修補(bǔ)的漏洞;而每天使用 Windows 操作系統(tǒng)的人數(shù)大約有 15 億。"Windows 10 在發(fā)布時被吹捧為迄今為止'最安全的 Windows 操作系統(tǒng)'，但它在去年仍然出現(xiàn)了 132 個關(guān)鍵性漏洞......取消管理員權(quán)限可以緩解這些關(guān)鍵漏洞中的 70%。"

[[406111]]

報告中的一些其他主要發(fā)現(xiàn)還包括有：

• 在過去五年(2016-2020)中，報告的漏洞數(shù)量驚人地增長了 181%
• 一種在 2020 年緩解 56% 的所有微軟關(guān)鍵性漏洞的簡單方法
• “提權(quán)”首次成為第一大漏洞類別，占總數(shù)的 44%，是前一年的近三倍

對此，微軟則暫未予置評。

報告指出，Windows Server 的關(guān)鍵性問題數(shù)量最多。2020 年，微軟安全公告中總共報告了 902 個影響 Windows Server 的漏洞，相較上一年增加了 35%。而在具有嚴(yán)重評級的 138 個漏洞中，有 66% 可以通過刪除管理員權(quán)限來緩解。

Microsoft Edge 和 Internet Explorer 8、9、10 和 11 在 2020 年總共發(fā)現(xiàn)了 92 個漏洞，其中 61 個(66%)被確定為關(guān)鍵性漏洞。報告指出，2020 年期間，IE8、9、10 和 11 中存在 27 個關(guān)鍵漏洞。取消管理員權(quán)限可以緩解其中的 24 個，消除 89% 的風(fēng)險。Edge 的關(guān)鍵漏洞去年有所減少，從 86 個減少到 34 個。在這 34 個漏洞中，取消管理員權(quán)限可以緩解其中的 29 個(85%)。

在微軟 Office 中，Excel、Word、PowerPoint、Visio、Publisher 和其他 Office 產(chǎn)品中存在 79 個漏洞。其中，只有 5 個被認(rèn)為是關(guān)鍵性的;在所有的 Office 產(chǎn)品中，取消管理員權(quán)限就可以緩解其中的 4 個漏洞。

此外，特權(quán)提升漏洞的數(shù)量同比幾乎增加了兩倍。從 2019 年的 198 個增加到 2020 年的 559 個，占 2020 年所有微軟漏洞的 44%，所占比例最大。報告稱，56% 的微軟關(guān)鍵漏洞可以通過刪除管理員權(quán)限來緩解。“強(qiáng)制執(zhí)行最小特權(quán)是解決這個問題的最快、最有效的措施。”

微軟 MVP 和道德黑客 Sami Laiho 也表示，“取消管理員權(quán)限提供了很好的主動保護(hù)。我們需要保護(hù)執(zhí)行惡意有效載荷的組件，特別是在瀏覽網(wǎng)頁或閱讀電子郵件的重要應(yīng)用程序中。本報告中的數(shù)字證明，移除管理員權(quán)限將為你的 Outlook、Office、IE 和 Edge 提供保護(hù)。”

報告地址：https://www.beyondtrust.com/resources/whitepapers/microsoft-vulnerability-report

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：微軟產(chǎn)品漏洞 2020 年創(chuàng) 1268 個新高，Windows 占 907 個

本文地址：https://www.oschina.net/news/146322/microsoft-product-vulnerabilities-2020