漏洞數量有望再次突破歷史記錄 零日下降 虛擬化激增

「零日計劃」( ZDI：Zero Day Initiative )2018年上半年收到的漏洞報告數量環比增長了33%，有望打破2017「史上最繁忙漏洞年」記錄。

從年初到現在，ZDI已向提交漏洞的研究人員支付了超過100美元的漏洞獎金。回顧2018年上半年，ZDI發布了破紀錄的600個漏洞警報；而去年同期，這個數字是451。儘管2017年被稱為「史上最繁忙漏洞年」，33%的漏洞報告增幅還是讓2018年看起來有打破2017年記錄的趨勢。

雖然報告的漏洞數量上升，發布的漏洞警報也比去年同期多了很多，但零日漏洞報告卻環比下降了42%。

微軟、蘋果、Adobe、SCADA、虛擬化軟體漏洞趨勢

ZDI指出了下列幾大「有趣」趨勢：

微軟：微軟相關漏洞比去年同期增長了驚人的121%。其中一大部分都是瀏覽器相關，顯示出IE、Edge和 Chakra Core 的運行時編譯(JIT)漏洞是如何變成2018年的釋放後使用(UAF)漏洞的。考慮到微軟今年上半年僅比去年同期多發布了8%的補丁，ZDI認為，漏洞報告數量的上升，表明的是微軟產品的增多，而非產品中漏洞的增加。ZDI手裡現在還握有其他39個等待補丁推出的微軟漏洞。

蘋果：蘋果產品漏洞報告數量比去年同期下降了28.5%。但這不過是一種假象。ZDI稱，蘋果漏洞報告數量較少的結果，並沒有考慮進2017年Pwn2Own上曝出的多個蘋果漏洞。如果去掉2017年Pwn2Own上收穫的漏洞，那麼蘋果今年上半年漏洞報告數量就環比增長了36%。而且，ZDI手中等待修復的30個蘋果安全漏洞也印證了這一點。

SCADA：SCADA漏洞報告數量簡直就是激增，佔據了上半年ZDI收到漏洞提交總數的30%。普羅大眾並沒有意識到SCADA產品也是IoT控制的一種，可以造成的影響遠不僅止基礎設施和製造業。SCADA漏洞的猛增，源自Advantech、Delta Industrial 和Omron產品中被上報的漏洞。

ZDI發布了132個Advantech安全警報，占今年截至目前全部漏洞報告的22%。Delta advisories 安全警報26個，Omron安全警報22個，各自貢獻了安全警報總數的4%。

Adobe：2018年1月到6月，Adobe漏洞報告數相比去年同期僅增加了2個。換句話說，ZDI發布了94個Adobe安全警報，占今年安全警報總數的16%，而去年同期這個佔比是20%。Adobe漏洞份額上減少的這4%，貢獻到了SCADA漏洞增加的那30%中。

虛擬化軟體：與安全研究人員在虛擬化軟體中追捕漏洞有關的另一趨勢。此類漏洞報告增幅達到了令人難以置信的275%！今年Pwn2Own上曝出的 Oracle VirtualBox 漏洞，再加上ZDI收到的VMware漏洞報告，充分表明了虛擬化產品安全研究方興未艾。

所有跡象都指向了漏洞研究的持續成長，以及2018年下半年新漏洞報告率的增加。ZDI指出，難以預測2018年剩下的時光會是個什麼情況，但如果以2017作為參考，未來半年可能會更忙於應付層出不窮的漏洞。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！