根據卡巴斯基實驗室雲端安全網路資料，卡巴斯基實驗室研究了由軟體弱點造成的威脅。研究表明，很多使用較舊版本或高危險版本Oracle Java和Adobe Reader的使用者非常不情願更換較新或較安全的版本。

近日，卡巴斯基實驗室對2012年常見程式安全弱點進行分析後，發佈了《評估軟體弱點威脅水平》的報告。除了指出最常見包含危險弱點的軟體外，研究還評估了使用者升級新軟體版本的積極性。分析結果並不令人樂觀，因為很多較舊版本的軟體，甚至過時的軟體仍然廣泛存在於很多使用者的電腦中數月甚至數年。

軟體弱點對於個人消費者和企業造成的威脅非常明顯。弱點能被用做「竊取工具」，竊取使用者個人資料，針對企業進行網路間諜攻擊，或者破壞重要工業系統和政府機構。想要解決這些威脅有多種方法，一些軟體開發商不斷發佈軟體更新，增強其產品的整體安全性。或者採用先進的保護技術防禦威脅，例如卡巴斯基實驗室的自動弱點入侵防護技術。卡巴斯基實驗室最新的研究目的是瞭解軟體弱點造成的真實威脅，評估使用者對於最新發佈修補威脅弱點新軟體版本的反應。這次分析主要針對常見的軟體弱點，這些弱點經常被網路罪犯所利用。2012年發現的這類弱點總數超過800個。其中一些雖然很難在使用者電腦上發現，卻能夠被用來做為針對性攻擊的入口。

主要研究發現

• 透過對超過1,100萬使用者進行資料分析，共在不同的程式中發現超過1.32億次弱點，平均每個使用者電腦有12個弱點。
• 超過800個不同弱點被發現。
• 這些弱點中，有37種弱點被發現存在於至少10%的電腦上，存在時間在2012年至少有一週。這些弱點佔所有檢測到的弱點的70%。
• 最常見37種弱點，只有8種存在於網路罪犯經常使用的弱點利用程式，其中：

-Oracle Java中包含5種弱點。

-Adobe Flash Player中包含2種弱點。

-Adobe Reader中包含1種弱點。

• 針對使用者更換最新以及更安全版本軟體的積極性研究顯示：

-最新版Java軟體發佈後六個星期（2012年9月至10月），只有28.2%的使用者選擇升級到較安全版本，超過70%的使用者讓系統暴露在Java弱點威脅中。

-過時的2012版Adobe Flash Player很容易被網路罪犯利用發動攻擊，該軟體安裝率平均佔電腦總量的10.2%，同2012年相比，沒有明顯改觀。

-早在2011年12月被發現的一種Adobe Reader弱點在電腦中的存在比例為13.5%，同樣沒有改觀。

評論

卡巴斯基實驗室 弱點研究專家Vyacheslav Zakorzhevsky

「這次調查表明，在發現一個安全弱點後不久，發佈安全補丁對其進行修補，對於保護使用者和企業安全還不夠。低效的更新機制使得數百萬Java、Adobe Flash和Adobe Reader使用者仍然面臨風險。此外，2012年和2013年初還發現Java存在大量嚴重弱點，表明使用者需要更為先進和即時的安全保護手段。企業也應該嚴肅對待這個問題，因為常見軟體中包含的弱點已經成為執行針對性攻擊的主要入口。」

>>《評估軟體弱點威脅水平》報告全文

=============

http://www.kaspersky.com.tw/news/2013-02/news_20130205.html