您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

1/4零時差漏洞平均壽命長達9.5年

公共政策研究組織RAND Corporation於3/9發布了一份鎖定逾200個零時差漏洞的研究報告,指出這些零時差漏洞的平均壽命約為6.9年,只有25%的壽命低於1.51年,並有25%的壽命長達9.5年。這份報告所調查的零時差漏洞有些特別,因為它們並非來自製造商的資料,也非是已被公開揭露的零時差漏洞,而是RAND與其他機構合作所取得的私人零時差漏洞資訊,目的是為了理解攻擊程式的開發產業,同時可作為揭露或藏私漏洞的政策參考。

RAND將這200個零時差漏洞分為三類,一是未被公開的現存漏洞,有些可能是因為業者已不再更新或維護程式碼,而成為永垂不朽的漏洞,約占調查總數的40%。其次是已被揭露的漏洞,有些已修補,而有些則僅有漏洞資訊,第三種則是殭屍漏洞,這類的漏洞只存在於老舊版本而非新版中。這些零時差漏洞都已出現相對應的攻擊程式,其中,有31.44%的攻擊程式在發現漏洞不到一週就開發完成,有71%的攻擊程式是在30天內出爐,只有10%的攻擊程式耗費90天以上。RAND發表該報告的時機正值維基解密(WikiLeaks)公布CIA網路攻擊火力大批文件Vault 7之際,文件中所提及的Stinger漏洞便是藏匿在英特爾(Intel)舊版的Stinger安全工具中。

報告的主要作者Lillian Ablon指出,傳統的白帽研究人員多半會在發現漏洞的當下即知會軟體業者,但有些系統滲透測試業者或是灰帽駭客則傾向於把它們藏起來。究竟是要揭露、藏私或是開發攻擊程式則是一項權衡的遊戲,特別是對各國政府而言。Ablon解釋,假設某國政府的對手也知道某個漏洞,那麼公開漏洞並推動業者修補即可強化該國的防禦能力,倘若這個漏洞只有該國知道,那麼保留這個漏洞則會是佔上風的最佳選項。在網路戰爭一觸即發的現代,零時差漏洞成為珍貴的武器,而如何在國安與資安方面取得平衡,則考驗著全球領導者的智慧。

Reference

資料來源:
http://www.rand.org/news/press/2017/03/09.html
http://www.rand.org/pubs/research_reports/RR1751.html
http://www.ithome.com.tw/news/112723
完整報告請參閱:
http://www.rand.org/content/dam/rand/pubs/research_reports/RR1700/RR1751/RAND_RR1751.pdf
國家資通安全會報技術服務中心整理

Publish Date
2017/3/27 0:00:00