更多

    7 成半漏洞未發表就在黑市公開!

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    雖然《 PCM 》不時會報道有關系統漏洞的情報,不過其實那只不過是冰山一角。據網絡保安公司 Recorded Future 一份報告指出,原來有 75% 的漏洞,是在被公布之前,就已經在互聯網或黑市中流傳,令駭客有機可乘。
    Recorded Future 研究了美國國家標準技術研究所( NIST )的國家漏洞數據庫( NVD ),在 2016-2017 年間所公布的 12,517 個漏洞,由被發現到通過 NVD 公布之間相隔的日數。他們發現,原來有 75% 的漏洞是在正式公布之前,就已經有情報在網上流出,而相隔日數的中位數為 7 日。不過當中有 25% 原來超過 50 日才被公布,而超過 170 日才公布的漏洞就有一成。 Recorded Future 又發現,漏洞由流出到被公布的相隔日數,有擴大的趨勢,情況令人憂慮。

    漏洞發現到公布的相隔時間愈長,駭客愈有機可乘。
    漏洞發現到公布的相隔時間愈長,駭客愈有機可乘。

    報告又指出,有 5% 漏洞的細節情報在 NVD 公布之前就在 Deep Web 和黑市網絡中流傳,而且危險程度比預期為高的。 另外,雖然我們多數倚賴英語情報網來收收集漏洞情報,不過原來有 30% 漏洞,是中國國家營運的漏洞情報資料庫更早公布的。
    而以廠商來分類,從發現到官方公布的相隔日數,Adobe 平均為 1 日, Microsoft 為 2 日,但 Oracle 、 Apple 和 Google 就超過 5 日。

    您會感興趣的內容

    相關文章