根据哥本哈根的安全公司Secunia的一份新报告,Flash和Java中新发现的漏洞是今年冬天要注意的漏洞。
Secunia研究与安全总监Kasper Lindgaard说:“在今年年初,Adobe Flash在今年年初非常艰难。”“根据情人的眼睛,这是一个好或坏的开始。”
根据涵盖11月,12月和1月几个月的Secunia报告,广泛使用的申请中的零日脆弱性是企业的一个特殊挑战,因为很难将其从任何地方删除。一个组织。
此外,一种闪光漏洞之一用于恶意攻击,这对于用户来说非常困难。所有用户必须要做的就是访问一个信誉良好的网站,而不是下载恶意附件或单击恶意链接,而恶意软件的感染是通过广告出现的。
Lindgaard说,同时,Java中的漏洞对于企业也尤其有问题。
他说:“ Java只是最终用户很难修补的应用程序或框架之一。”“修补本身很简单,这是关于人们不花时间修补,或者他们不在乎。”
根据Secunia的说法,Java的未解决的份额通常在40%至50%之间。加上约65%的市场份额,使Java成为脆弱性时最糟糕的应用之一,尤其是在私人设备上。
但是,拥有最脆弱产品的供应商既不是Oracle也不是Adobe,而是IBM。
Lindgaard说,这是因为IBM倾向于捆绑它们用作自己产品一部分的所有图书馆。
他说:“因此,当发布新版本的Java时,IBM需要发布新版本的产品以修复这些产品的Java。”
Google还在本季度发布了Secunia报告,原因是其Google Chrome漏洞以及其项目零披露政策的变化。
Lindgaard说:“ Google竭尽全力找到并摆脱其产品中的漏洞,Chrome是一种旗舰产品,因此他们专注于此。”
Google本身发现了大约80%的漏洞,但也有一个漏洞赏金计划,可以奖励外部研究人员发现问题的外部研究人员。因此,过去三个月报道的132 Google Chrome漏洞并不是坏消息,EHS AID。
他说:“这是一件好事,因为它强调他们以负责任的方式采取安全感。”
同样是个好消息 - Google不再有90天的艰难披露日期,因为它发现的漏洞是零项目的一部分。
他说:“他们引入了两个星期的宽限期。”“如果一个补丁在接下来的两周内有计划发布的日期,他们将不会透露,他们将等待。听取了安全行业,他们解决了问题。”
Google今年早些时候因披露Microsoft漏洞和样本利用代码而受到批评,这些漏洞是在他们通知Microsoft有关问题的九十天之后的批评 - 即使Microsoft正要发布补丁程序。
这个故事,“标记为Java,Flash漏洞”的故事最初是由CSO 。