3 月 6 日,安全网站 TheBestVPN 发布一份研究报告,报告表明: Debian Linux 是过去 20 年漏洞数量最多的操作系统;最近 20 年,微软累计有 6814 个技术漏洞,远远超过其他科技公司;从 1999 年到 2019 年,漏洞数量增长近 14 倍,从 894 增长至 12174。据悉,这份报告的数据来自美国国家标准技术研究院(NIST)国家漏洞数据库。
据数据显示,从 1999 年到 2019 年,Debian Linux 的累计漏洞数为 3067,排名第一。Android 排名第二,它累计有 2563 个漏洞。Linux kernel 则排名第三,累计漏洞数为 2357。
而 Mac OS X 则以 2212 个漏洞排名第四。作为 Windows 平台排名最前者,Windows Server 2008 以 1421 个漏洞排名第 9。
众所周知,Linux 有很多发行版,主要分为由商业公司维护的商业版和开源社区维护的免费发行版,分别以 Redhat 和 Debian 为代表。Debian Linux 系统基础核心小,不仅稳定,而且占用内存小。由于其优秀的表现和稳定性,Debian 受到 VPS 用户的欢迎。
针对 Debian Linux 的漏洞,TheBestVPN 表示,“作为一款免费易上手的操作系统,Debian Linux 最近 20 年累计有 3067 个安全漏洞。不过,面对这些漏洞,Debian Linux 社区并非无动于衷。根据其官网披露,社区非常‘负责’,他们一般会在漏洞被曝光的几天内就修复它。“
如果聚焦2019 年,我们发现 Android 以 414 个漏洞排名第一,而 Debian Linux 排名第二,它有 360 个漏洞。
从第三名到第五名,全被微软囊括,依次是 Windows Server 2016(357 个漏洞)、Windows 10(357)和 Windows Server 2019(351)。
“根据我们的分析表明,Debian Linux 可能是问题最多的操作系统。但在 2019 年,Android 的漏洞数量比 Debian Linux 多 54 个。””TheBestVPN 在报告中写道,“Android 漏洞之所以如此多,是因为 Android 手机中有大量预装的第三方应用,它们可能存在一些问题。”
巨头漏洞多,微软“霸榜”
TheBestVPN 称“最近 20 年,商业变得越来越依赖新要素、新技术,比如数据、云计算和移动互联网等,这也导致企业面临更多的网络攻击。”
从厂商角度看,作为全球最成功的科技公司之一,微软产品“树大招风”,从 1999 年到 2019 年,微软累计被曝出 6814 个技术漏洞,排名第一。同时,这也让它成为最容易被攻击者盯上的供应商。
在微软之后,排名第二的是甲骨文,20 年累计有 6115 个漏洞。
第三到第五名依次是 IBM、谷歌、苹果,相对应的漏洞数为 4679、4572、4512。
如果只看 2019 年,微软以 668 个漏洞远超其他公司,牢牢占据排行榜第一。其次是谷歌(609)、甲骨文(489)和 Adobe(441)以及思科(440)。
20 年,漏洞数量增长近 14 倍
根据数据表明,1999 年只有 894 个技术漏洞,20 年后,漏洞数量高达 12174,增长近 14 倍。
据悉,2018 年的漏洞数量最多,高达 16556,平均每天有近 45 个漏洞。这一年,免费的开源操作系统 Debian GNU/Linux 曝出 1197 个漏洞,堪称 2018 年最易遭受攻击的产品。
基于这些数据,我们得知:Android 在 2016 年、2017 年和 2019 年的漏洞数量最多,均为当年“榜首”。与之相比,苹果的 iOS 一次未上榜。这也从侧面印证了 iOS 比 Android 相对更安全。
此外,谷歌 Chrome 浏览器连续三年(2010、2011 和 2012)成为漏洞最多的产品。而在编程语言中,PHP 在 2007 年以 114 个漏洞排名第一。
DoSS 攻击“不可怕”,代码执行需警惕
根据 TheBestVPN 的研究,这些漏洞可被分成 13 种,包括代码执行、DoSS 攻击、缓冲区溢出、跨站脚本攻击等。
在 2019 年的漏洞类别中,有超过四分之一的漏洞属于代码执行,它以 25.3% 的占比排名第一。CSS(跨站脚本攻击)排名第二,占比 17.7%。而 DDoS 攻击只占 10%,排名第四。
值得注意的是,代码执行也是 2018 年漏洞最多的类别,有 3041 个安全漏洞。
2019 年,第三到第五名的漏洞类别分别是缓冲区溢出、DoSS 和 Gain Information,相对应的占比为 13.9%、10.2%、10%。
你应该担心啥?
CVSS 是一套通用漏洞评分系统,评分从 0 到 10,评分越高,标志着漏洞危害和影响越大。通过 CVSS,我们可以简要了解从 1999 年到 2019 年包含漏洞的产品所带来的安全风险。
最近 20 年,在漏洞最严重的 TOP 50 产品中,Adobe Flash Player 得分最高,为 9.4。这意味着,这个应用中被发现的 bug 可能带来很严重的问题,比如数据泄露等。
第二名到第五名依次是 Adobe Acrobat(9.2)、微软 Office(9.1)、Adobe Acrobat Reader(8.9)和 Internet Explorer(8.6)。在 TOP 15 中,苹果的 watchOS 和 iTunes 评分最低,分别为 7.4、7.5,这意味着相对而言,其漏洞危害较小。
关注我并转发此篇文章,私信我“领取资料”,即可免费获得InfoQ价值4999元迷你书!
閱讀更多 InfoQ 的文章
