根据漏洞管理组织Secunia(现在是Flexera软件公司)的研究,在美国,苹果操作系统的应用程序已经超越了Oracle Java,成为了美国最主要的安全威胁来源。
这样的转变主要是由于Java 7生命周期的终结,而并非是Oracle公司作出了任何形式的提升和改进。
在The Reg网站上可以看到Secunia公司最新的季度报告,在这份报告中显示了美国以及其他十四个国家和地区的个人计算机用户的软件安全状况。目前,Java 7已经连续四个季度不是安全问题最严重的程序了,而这一情况也是前所未有的。在2015年第三季度中,苹果应用程序的安全问题最为严重。
Secunia公司按照这些应用程序的实际用户数量,以及选择忽略更新补丁的用户数量,对应用程序进行了排序。因为,即使软件开发商给用户们提供了相应的更新补丁,有的用户也会选择忽略这些更新程序。
苹果的QuickTime 7.x以及苹果的iTunes 12.x排在了名单的前列,这两个程序也成为了美国个人计算机中安全问题最为严重的两款应用程序。换句话来说,很多用户会使用这两款应用程序,但只有少部分的用户会去为这两款应用程序进行升级和更新。
根据Secunia公司的报告,QuickTime占有百分之五十五以上的市场份额,而且目前已报告的漏洞数量为18个,其中有百分之六十一的用户并没有安装最新版本的QuickTime。iTunes占有百分之四十左右的市场份额,而且目前已报告的漏洞数量有106个,其中大概有百分之四十七的用户并没有安装和部署必要的软件更新。
Java的排名下降到了第四位,主要是因为Oracle公司在2015年4月份时正式宣布停止对Java 7提供技术支持了,即Java 7生命周期终结。Oracle公司将停止在公共渠道发布 Java 7 安全补丁和升级包,以敦促用户迁移至 Java 8或购买Java 7的长期商业支持服务。
在名单的TOP 10中,还包括有Adobe公司的Adobe Reader阅读器以及Mozilla公司的火狐浏览器。还有八款Windows操作系统的应用程序也是由于没有安装合适的更新补丁而榜上有名。
根据Secunia公司的报告,在美国用户的个人计算机中,大约有20款应用的安装程序的生命周期已经终结了。这也就意味着,软件的供应商已经不会再向用户提供软件的安装包了,而且用户也不会再接收到任何安全更新的推送了。这样一来,对于一款生命周期已经完结(开发商停止提供技术支持)的应用程序而言,只要该应用程序中存在有任何的漏洞,安装了这一应用程序的计算机将无法抵御黑客的攻击。
2014年第三季度,在美国个人计算机中生命周期完结(End-of-Life)的应用程序占到了百分之五至百分之六。而早在2013年,这个数量只在百分之三至百分之四之间。
Kasper Lindgaard是Secunia研究公司的负责人,他说到:“如果用户没有卸载那些生命周期已经完结的应用程序,那么黑客就有了可乘之机。因为他们所开发的旧版本应用程序的漏洞利用方法仍然是有效的,而这些内容在黑市上也仍然是有一定的价值的。”
他还补充说到:“很多用户在安装了某一款应用程序之后,往往会忘记对其进行更新和升级。对于大多数的计算机用户而言,维护一款应用程序并不是他们会去考虑的首要事情。很多用户在应用程序安装完成之后,往往就再也不去管它了,而且只有在应用程序提醒这些用户需要为软件进行升级的时候,他们才会进行升级和更新。除此之外,还有很多用户会将过期的软件留在他们的操作系统之中,并且忘记去卸载或更新这些应用。”
在美国的个人电脑之中,平均每台计算机会安装有76个应用程序,这些应用程序来自27个不同的软件供应商,而且很多软件又有完全不同的升级机制,这也就使得软件的更新问题更加的令人头疼了。
这份报告中的相关数据来源于个人软件检查器(原名为Secunia PSI 3.0)在2014年10月1日至2015年9月30日期间的扫描结果。
文章原文链接:https://www.anquanke.com/post/id/82814