微软已经连续八年发布漏洞报告,报告指出:全世界每三次数据泄露就有一次是因为未修复漏洞。例如,2017年WannaCry攻击了150个国家/地区的20多万台计算机,造成了数十亿美元的损失。而彼时,微软已经发布了阻止漏洞的补丁,WannaCry受害者全都来自未及时修复补丁的组织。每天约有15亿人使用Windows操作系统,漏洞报告为Windows生态系统的威胁提供了晴雨表。
过去的五年中,微软产品发现漏洞的数量猛增。自从2016年以来增长了181%,在过去的一年中更是从2019年的858个漏洞攀升至2020年的1268个漏洞(同比增长48%)。随着漏洞数量的激增,攻击面也在逐年呈指数增长。这意味着,过去的恶意软件只针对少数漏洞发起攻击,现在可以针对十几个乃至几十个。
过去的三年里,尽管数量并未大幅下降,但关键漏洞整体趋于稳定。2020年,有56%的关键漏洞可以通过删除管理员权限得到缓解。
微软将漏洞划分为远程代码执行、权限提升、信息披露、拒绝服务、安全绕过、欺骗和篡改七大类。
权限提升首次变成了占最大比例的类别,这可能是由于权限管控更为严格,可用的管理员账户变少,攻击者将注意力转向权限提升。
微软已经宣布IE浏览器将要退役,转而使用Edge浏览器。2020年,IE浏览器从8到11一共发现了27个关键漏洞。其中24个漏洞可以通过取消管理员权限得到缓解,消除89%的风险面。Edge的漏洞也从86个减少的34个,取消管理员权限可以缓解其中29项。
2020年,Windows操作系统的漏洞创纪录的达到了907个。Windows 10尽管被誉为最安全的Windows操作系统,但去年仍然发现了132个漏洞。
2020年,Office的漏洞也从60个增加到79个,其中5个是关键漏洞。
2020年,Windows Server披露了902个漏洞,比上一年增加了35%,其中关键漏洞138个。
参考来源
来源:freebuf.com 2021-06-10 23:12:49 by: Avenger
请登录后发表评论
注册