加载中 ...
首页 > 新闻 > 科技要闻 > 正文

腾讯安全发布Windows漏洞报告:Win 10受漏洞影响最大

2019-01-28 14:51:02 来源:中国日报网

  整个2018年,国内先后爆发多起Windows平台漏洞安全事件,无论是因特尔芯片被爆出存在“熔断”和“幽灵”两大漏洞危机,还是“震网三代”漏洞被利用对政企单位进行网络攻击,抑或利用安全漏洞引发前所未有的“412挂马风暴”事件,都令人印象深刻。不止于此,Windows、Office、IE、Flash等高危漏洞频繁被曝光,各种利用野外攻击的事件更是层出不穷,给网络安全带来更为严峻的挑战。

  面对复杂多变的网络安全形势,腾讯安全近日正式对外发布《2018年Windows平台漏洞年度报告》(以下简称《报告》),盘点2018年发生的一些重大安全漏洞事件,重点分析Windows平台的漏洞攻击态势,并针对个人和企业漏洞防护提出合理化建议。

  Windows平台漏洞数创历史之最 Win 10受影响最大

  作为全球知名的软件开发商,微软对其名下产品的安全性投入同样是巨大的,2018年共计发布了874个补丁,修复了728个漏洞,平均每月修复多达60个漏洞。在过去二十几年,Windows操作系统的漏洞提交数量呈逐年上涨趋势,而在近几年真正进入爆发性增长态势。《报告》显示,相比过去三年,2018年的安全漏洞提交数量同比上升超过40%,安全漏洞的数量和严重性都创下历史新高。

(图:Windows历年漏洞提交量)

  在所有漏洞影响的Windows产品中,Windows系统组件漏洞、浏览器漏洞、Office漏洞位居前三,占比分别为35%、25%、17%;从2018年Windows漏洞影响的产品分布情况来看,Office和Adobe被曝光的漏洞相对较少,但漏洞利用比例很高。对此,《报告》认为,不法黑客挑选漏洞攻击时,会优先考虑漏洞利用的成本,并参考其攻击目标人群与产品用户的重合度,与产品本身漏洞量并无直接关系。

(图:2018年漏洞影响的Windows系统版本分布)

  数据显示,在所有Windows版本中,受到最多漏洞影响的是Windows 10系统,占比高达40%。腾讯安全技术专家表示,Windows 10成为当前主流操作系统的同时,漏洞曝光量也逐渐增多,企业及个人用户不可忽视其漏洞风险,建议每月及时安装更新是防范不法黑客入侵的必要步骤。

(图:漏洞攻击量TOP地区)

  《报告》指出,2018年漏洞攻击地区分布与当地经济水平及信息化普及程度相关,北京、上海、广州是不法黑客首选的攻击目标。而从行业来看,Windows操作系统的高危漏洞在教育、政府、卫生医疗行业的分布占比最高,分别为29%、26%、11%。从受攻击量的对比数据看,政府、教育、医疗卫生行业因其系统存在大量高危漏洞未及时修复,所受攻击次数也相对较高。值得一提的是,科技行业虽然漏洞存在量相对较少,受攻击量却是最高,窃取机密往往是攻击者首选目的。

  在2018国内用户整体漏洞修复情况中,Windows漏洞和.NET漏洞修复率达到70%以上,其次是IE、Flash和Office漏洞修复率保持在60%左右。事实说明,整体漏洞修复率偏低反映出当前国内的个人用户信息安全意识亟待提升。对此,《报告》建议,普通用户务必提高计算机网络安全意识,不要轻易下载不明软件程序,及时备份重要的数据文件。

  国内外漏洞安全事件频发 新老漏洞持续升级

  伴随着互联网和信息技术应用的高速发展,以智能合约、人工智能为代表的新兴科技为市场发展添加了不竭动力。与此同时,安全问题也如影随形,成为产业互联网发展的一个痛点。目前,全球各领域漏洞提交数量持续上涨,而0day漏洞正变得愈发常见。

  事实上,利益至上的不法黑客,对易用又稳定的漏洞可谓是爱不释手,典型的当属“永恒之蓝”系列漏洞。自2017年被曝以来,“永恒之蓝”系列漏洞频繁被利用获取系统最高权限,将病毒木马等恶意软件植入Windows系统。

  2018年3月,腾讯安全御见威胁情报中心监测发现,WannaMiner挖矿木马利用 “永恒之蓝”漏洞在局域网内传播,将染毒机器打造成庞大的僵尸网络,长期潜伏挖矿,致使国内600多家企业超3万台电脑遭感染。除此以外,不法黑客还利用“永恒之蓝”漏洞主动传播的蠕虫式勒索病毒,开启了以“WannaCry”为代表的勒索病毒时代。

  除老漏洞被反复利用以外,0day新漏洞也层出不穷。《报告》指出,Windows平台在半年内被连续爆出10枚0day漏洞,7枚已发现野外利用,而其中有6枚在被发现的短短几天时间内,就迅速被APT组织利用于盗窃企业、政府机构的机密信息。以“双杀”0day漏洞为例,2018年4月18日,首个IE“双杀”系列漏洞CVE-2018-8174的在野攻击样本被发现,DarkHotel(黑店)APT组织利用“双杀”0day高危漏洞针对企事业单位进行定向攻击,窃取国家机密。

  同时,英特尔CPU“新一代幽灵”漏洞持续升级、Office公式编辑器再曝栈溢出漏洞等问题引发的安全事件同样也值得关注。另外《报告》预测,未来几年,鱼叉攻击结合Office公式编辑器漏洞,仍然会是成为针对中小型企业的攻击手段之一。

  腾讯安全:建设多维、立体的安全体系是解决安全漏洞问题关键

  回顾2018,全球范围内的重大信息泄露事件层见叠出,国际信息安全态势正处于攻防博弈关键时刻。作为信息安全“防守方”,我们更应该思考如何应对技术手段不断升级的“进攻方”。

  为此,《报告》建议广大企业用户,及时做好生产力工具的安全管理,积极安装最新补丁修复漏洞,时刻保持企业使用的设备、软件、硬件的安全性,缩短漏洞平均存续期,可大幅减少攻击者发动攻击的可能;同时构建一套有效的安全情报监测体系,并建设一定的漏洞检测、安全应急响应、威胁情报监测、攻击溯源追踪能力,以此构筑一道信息安全“防火墙”。

  依托于腾讯近20年的安全经验积累,腾讯安全面向企业推出御点终端安全管理系统,将百亿量级云查杀病毒库、引擎库以及腾讯TAV杀毒引擎、系统修复引擎应用到企业内部,可有效防御企业内网终端的病毒木马攻击,并帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

(图:腾讯御点终端安全管理系统)

  就当前漏洞攻击态势而言,Windows平台漏洞已成为个人用户不可忽视的至暗武器,往往令用户难以察觉。面对当前严峻的漏洞攻击形式,为避免用户进一步遭受损失,《报告》再次提醒广大用户,使用新版本系统是防范漏洞攻击最直接有效的方式,及时修复系统环境中存在的安全漏洞,可有效避免不法黑客的攻击。


“财经新闻网”的新闻页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与

我们联系删除或处理,稿件内容仅为传递更多信息之目的,并不代表认同其内容数据或观点的真实性。

  • 声音提醒
  • 60秒后自动更新
  • 福布斯亿万富豪榜公布:贝索斯再夺冠,马化腾居于第20位!

    08:43
  • 中国联通的5G信号首次出现在两会上。记者3月1日上午在北京梅地亚两会新闻中心的现场看到,中国联通的5G信号已经实现了在新闻中心的全覆盖。

    09:53
  • 2018年全年跑路、失联、主办券商风险提示……这样的“黑天鹅”今年以来在新三板频频发生。据不完全统计,今年以来已有近20家新三板公司董事长失联。

    19:15
  • 12月12日,双十二来临之际,《南方周末》的一篇报道就解开了不少人的困惑,南极人品牌所有商品均不自己生产,品牌的拥有方南极电商只是品牌的运营方和吊牌的出售者。网上的南极人店铺有多少呢?目前南极人旗下全品牌授权经销商有846家,合作经销商3427家,授权店铺4442家。从2018年年初至今,南极人已经14次被国家质监部门及地方消费者协会拉入不合格产品黑名单。这样的滥授权,会不会毁掉南极人这个品牌?

    01:44
  • 【人大教授:社保新规若严格执行 企业负担将增长50% 】人大财政金融学院副教授马光荣表示,如果现有参保职工严格按照实际工资作为缴费基数,同时法定缴费率严格按照28%执行的话,整个企业部门的社保缴费负担上升50%左右,企业的用工成本会上升7.5%,企业的利润会下降8.2%。短期之内,因为工资有黏性,所以社保费负担的上升主要由企业承担;但是中长期看的话,用工成本上升导致部分制造业企业可能会出现外迁,工人工资会下降。

    08:00
  • 新华社援引专家分析认为,8月份菜价、肉价波动,主要是季节性因素所致,后期食品价格、服务价格、工业消费品价格仍将保持温和水平,通胀压力没有明显增加。

    08:00
  • 【洪磊:税收制度是私募基金健康发展的保障】中国证券投资基金业协会会长洪磊表示,税收制度是私募基金健康发展的保障。应当坚持税收法定原则,遵循《基金法》确立的基金属性和税收法律确定的规则,全面审视和调整基金行业税收政策。在私募基金税收征管过程中,应当明确区分作为管理人的合伙企业和作为基金产品的合伙企业,依合伙企业不同收入的性质,准确适用税种和税率。(中证报)

    08:00
  • 欧盟首席英国退欧事务谈判官Barnier:在未来6到8周达成脱欧协议是“现实的“。

    08:00
  • 欧盟首席英国退欧事务谈判官Barnier:我们有义务控制外部边界的商品流动。

    08:00
  • 美银美林:若在美国制造,iPhone可能贵20%。

    08:00
  • 利比亚国家石油公司总裁Sanalla称,国家石油公司总部遇袭事件对石油生产没有影响。

    08:00
  • 【腾讯投资部否认投资子弹短信:并无此事】针对“投资子弹短信”一事,腾讯投资并购部回应,表示并无此事。罗永浩 之前在微博提到,子弹短信上线第二天腾讯投资部就打去电话,看看投资的情况。罗永浩称,子弹短信不足以挑战微信,但能拿10%-20%份额,做到几十亿甚至上百亿估值。

    08:00
  • 【部分长租公寓存在装修污染问题 亟待出台统一规范】近日,部分品牌长租公寓被曝出甲醛等空气污染物超标,有用户直指装修污染是对住户健康造成威胁的“元凶”。记者调查发现,部分长租公寓在光鲜的外表下,却存在着不容忽视的装修污染问题,亟待行业内部出台统一规范。(新华社)

    08:00
  • Fred’s(FRED)股价周一飙升,目前涨超50%;此前,该公司宣布以1.65亿美元的价格将一些药房档案出售给Walgreens。

    08:00
  • Fred’s(FRED)股价周一飙升,目前涨超50%。

    08:00