按 Enter 到主內容區
新北市政府警察局刑事警察大隊
  • 友善列印
  • 回上一頁
  • 推到:facebook

1/4零時差漏洞平均壽命長達9.5年

  • 發布日期:108-11-28
  • 發布單位:刑事警察大隊

公共政策研究組織RAND Corporation於3/9發布了一份鎖定逾200個零時差漏洞的研究報告,指出這些零時差漏洞的平均壽命約為6.9年,只有25%的壽命低於1.51年,並有25%的壽命長達9.5年。這份報告所調查的零時差漏洞有些特別,因為它們並非來自製造商的資料,也非是已被公開揭露的零時差漏洞,而是RAND與其他機構合作所取得的私人零時差漏洞資訊,目的是為了理解攻擊程式的開發產業,同時可作為揭露或藏私漏洞的政策參考。
RAND將這200個零時差漏洞分為三類,一是未被公開的現存漏洞,有些可能是因為業者已不再更新或維護程式碼,而成為永垂不朽的漏洞,約占調查總數的40%。其次是已被揭露的漏洞,有些已修補,而有些則僅有漏洞資訊,第三種則是殭屍漏洞,這類的漏洞只存在於老舊版本而非新版中。這些零時差漏洞都已出現相對應的攻擊程式,其中,有31.44%的攻擊程式在發現漏洞不到一週就開發完成,有71%的攻擊程式是在30天內出爐,只有10%的攻擊程式耗費90天以上。RAND發表該報告的時機正值維基解密(WikiLeaks)公布CIA網路攻擊火力大批文件Vault 7之際,文件中所提及的Stinger漏洞便是藏匿在英特爾(Intel)舊版的Stinger安全工具中。
報告的主要作者Lillian Ablon指出,傳統的白帽研究人員多半會在發現漏洞的當下即知會軟體業者,但有些系統滲透測試業者或是灰帽駭客則傾向於把它們藏起來。究竟是要揭露、藏私或是開發攻擊程式則是一項權衡的遊戲,特別是對各國政府而言。Ablon解釋,假設某國政府的對手也知道某個漏洞,那麼公開漏洞並推動業者修補即可強化該國的防禦能力,倘若這個漏洞只有該國知道,那麼保留這個漏洞則會是佔上風的最佳選項。在網路戰爭一觸即發的現代,零時差漏洞成為珍貴的武器,而如何在國安與資安方面取得平衡,則考驗著全球領導者的智慧
資料來源參考:
http://www.rand.org/news/press/2017/03/09.html
http://www.rand.org/pubs/research_reports/RR1751.html
http://www.ithome.com.tw/news/112723
參考網站:
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=15897