随着微软12月安全更新发布,2013全年微软补丁数量已达到106个,最近5年已是第三次补丁数量“破百”。据统计,今年微软高危漏洞补丁为42个,占比达到39.6%;9月补丁数量最多,达到13个。中国安全公司已成为提升Windows安全性的重要力量,今年360七次报告漏洞而获得微软致谢,迄今共十三次协助微软修复漏洞。
图:2013年微软补丁数量破百
尽管微软补丁数量居高不下,但并未修复所有漏洞。微软安全公告显示,上月曝出的Windows内核驱动漏洞仍未得到修复。鉴于该漏洞信息已经公开,很可能引发黑客“跨年”攻击,目前国内的360安全卫士等软件已推出防护措施,在微软补丁发放前,用户应注意更新安全软件抵御漏洞攻击。
据了解,节日爆发黑客攻击也成为微软漏洞的“特色”。2013年劳动节和中秋节期间,IE浏览器均曝出远程代码执行漏洞,也是威胁程度最高的漏洞类型之一。其中,劳动节漏洞被黑客利用攻击美国劳工部网站,中秋节漏洞更是影响所有Windows系统所有版本IE浏览器,包括微软悬赏求攻破的“Win8.1+IE11”组合。
在漏洞层出不穷的同时,黑客攻击手段也“推陈出新”,首次出现了漏洞利用第一阶段“云端动态控制”的攻击方法,黑客与安全厂商之间攻防技术不断升级。作为系统服务商,微软也在今年开始为漏洞报告者提供现金奖励。在一项“为Win8.1找bug”的漏洞悬赏活动中,有研究人员发现该系统预览版漏洞而获得10万美元奖励。
对于安全厂商来说,报告漏洞则更多的是荣誉和技术实力的象征。在中国个人安全厂商中,360安全中心2013年独家发现七个微软漏洞而获得致谢,不仅在国内遥遥领先,在全球杀毒软件厂商中也排名上游。在国外,Google、ZDI等企业和漏洞研究机构更是报告微软漏洞的“大户”,每年发现微软漏洞数量达到数十个。