3 月 6 日,安全網站 TheBestVPN 發佈一份研究報告,報告表明: Debian Linux 是過去 20 年漏洞數量最多的操作系統;最近 20 年,微軟累計有 6814 個技術漏洞,遠遠超過其他科技公司;從 1999 年到 2019 年,漏洞數量增長近 14 倍,從 894 增長至 12174。據悉,這份報告的數據來自美國國家標準技術研究院(NIST)國家漏洞數據庫。
據數據顯示,從 1999 年到 2019 年,Debian Linux 的累計漏洞數為 3067,排名第一。Android 排名第二,它累計有 2563 個漏洞。Linux kernel 則排名第三,累計漏洞數為 2357。
而 Mac OS X 則以 2212 個漏洞排名第四。作為 Windows 平臺排名最前者,Windows Server 2008 以 1421 個漏洞排名第 9。
眾所周知,Linux 有很多發行版,主要分為由商業公司維護的商業版和開源社區維護的免費發行版,分別以 Redhat 和 Debian 為代表。Debian Linux 系統基礎核心小,不僅穩定,而且佔用內存小。由於其優秀的表現和穩定性,Debian 受到 VPS 用戶的歡迎。
針對 Debian Linux 的漏洞,TheBestVPN 表示,“作為一款免費易上手的操作系統,Debian Linux 最近 20 年累計有 3067 個安全漏洞。不過,面對這些漏洞,Debian Linux 社區並非無動於衷。根據其官網披露,社區非常‘負責’,他們一般會在漏洞被曝光的幾天內就修復它。“
如果聚焦2019 年,我們發現 Android 以 414 個漏洞排名第一,而 Debian Linux 排名第二,它有 360 個漏洞。
從第三名到第五名,全被微軟囊括,依次是 Windows Server 2016(357 個漏洞)、Windows 10(357)和 Windows Server 2019(351)。
“根據我們的分析表明,Debian Linux 可能是問題最多的操作系統。但在 2019 年,Android 的漏洞數量比 Debian Linux 多 54 個。””TheBestVPN 在報告中寫道,“Android 漏洞之所以如此多,是因為 Android 手機中有大量預裝的第三方應用,它們可能存在一些問題。”
巨頭漏洞多,微軟“霸榜”
TheBestVPN 稱“最近 20 年,商業變得越來越依賴新要素、新技術,比如數據、雲計算和移動互聯網等,這也導致企業面臨更多的網絡攻擊。”
從廠商角度看,作為全球最成功的科技公司之一,微軟產品“樹大招風”,從 1999 年到 2019 年,微軟累計被曝出 6814 個技術漏洞,排名第一。同時,這也讓它成為最容易被攻擊者盯上的供應商。
在微軟之後,排名第二的是甲骨文,20 年累計有 6115 個漏洞。
第三到第五名依次是 IBM、谷歌、蘋果,相對應的漏洞數為 4679、4572、4512。
如果只看 2019 年,微軟以 668 個漏洞遠超其他公司,牢牢佔據排行榜第一。其次是谷歌(609)、甲骨文(489)和 Adobe(441)以及思科(440)。
20 年,漏洞數量增長近 14 倍
根據數據表明,1999 年只有 894 個技術漏洞,20 年後,漏洞數量高達 12174,增長近 14 倍。
據悉,2018 年的漏洞數量最多,高達 16556,平均每天有近 45 個漏洞。這一年,免費的開源操作系統 Debian GNU/Linux 曝出 1197 個漏洞,堪稱 2018 年最易遭受攻擊的產品。
基於這些數據,我們得知:Android 在 2016 年、2017 年和 2019 年的漏洞數量最多,均為當年“榜首”。與之相比,蘋果的 iOS 一次未上榜。這也從側面印證了 iOS 比 Android 相對更安全。
此外,谷歌 Chrome 瀏覽器連續三年(2010、2011 和 2012)成為漏洞最多的產品。而在編程語言中,PHP 在 2007 年以 114 個漏洞排名第一。
DoSS 攻擊“不可怕”,代碼執行需警惕
根據 TheBestVPN 的研究,這些漏洞可被分成 13 種,包括代碼執行、DoSS 攻擊、緩衝區溢出、跨站腳本攻擊等。
在 2019 年的漏洞類別中,有超過四分之一的漏洞屬於代碼執行,它以 25.3% 的佔比排名第一。CSS(跨站腳本攻擊)排名第二,佔比 17.7%。而 DDoS 攻擊只佔 10%,排名第四。
值得注意的是,代碼執行也是 2018 年漏洞最多的類別,有 3041 個安全漏洞。
2019 年,第三到第五名的漏洞類別分別是緩衝區溢出、DoSS 和 Gain Information,相對應的佔比為 13.9%、10.2%、10%。
你應該擔心啥?
CVSS 是一套通用漏洞評分系統,評分從 0 到 10,評分越高,標誌著漏洞危害和影響越大。通過 CVSS,我們可以簡要了解從 1999 年到 2019 年包含漏洞的產品所帶來的安全風險。
最近 20 年,在漏洞最嚴重的 TOP 50 產品中,Adobe Flash Player 得分最高,為 9.4。這意味著,這個應用中被發現的 bug 可能帶來很嚴重的問題,比如數據洩露等。
第二名到第五名依次是 Adobe Acrobat(9.2)、微軟 Office(9.1)、Adobe Acrobat Reader(8.9)和 Internet Explorer(8.6)。在 TOP 15 中,蘋果的 watchOS 和 iTunes 評分最低,分別為 7.4、7.5,這意味著相對而言,其漏洞危害較小。
關注我並轉發此篇文章,私信我“領取資料”,即可免費獲得InfoQ價值4999元迷你書!
閱讀更多 InfoQ 的文章
