但I(xiàn)BM公司表示文本閱讀器，編輯器和多媒體應(yīng)用軟件中的漏洞數(shù)量攀升了50%。IBM公司將這些漏洞歸類為客戶端漏洞，也包括哪些影響到瀏覽器和操作系統(tǒng)的漏洞。

在五中最常見(jiàn)的網(wǎng)站漏洞中，有三種是關(guān)于PDF文件的。攻擊者利用Adobe的PDF軟件的漏洞成功發(fā)動(dòng)入侵，并通過(guò)垃圾郵件和惡意網(wǎng)站發(fā)動(dòng)攻擊。

IBM公司研究經(jīng)歷湯姆.克魯斯表示"確實(shí)有那么一幫壞家伙專門(mén)把攻擊目標(biāo)對(duì)準(zhǔn)這類軟件"。

其他兩款漏洞涉及Flash和可以允許用戶在IE上查看微軟辦公自動(dòng)化文檔的ActiveX控件。

瀏覽器是客戶端漏洞藏身最多的地方。2009年，Mozilla的火狐瀏覽器高風(fēng)險(xiǎn)漏洞的數(shù)量是IE瀏覽器的兩倍，但是好的一方面是，到年底時(shí)所有的問(wèn)題都打好了補(bǔ)丁。

超過(guò)一半的高風(fēng)險(xiǎn)客戶端漏洞就影響到四家廠商：即微軟，Adobe, Mozilla和蘋(píng)果。從平均數(shù)來(lái)看，多數(shù)廠商對(duì)66%的明顯漏洞打了補(bǔ)丁，蘋(píng)果這方面表現(xiàn)是最差的，只給38%的漏洞打了補(bǔ)丁。

IBM公司還關(guān)注到了整體打補(bǔ)丁率。X-Force對(duì)Motion, the GNU community,思科,Adobe Systems和惠普的研究數(shù)據(jù)顯示，到2009年底思科公司未打補(bǔ)丁的高風(fēng)險(xiǎn)漏洞數(shù)量?jī)H為1%，其他公司沒(méi)有未打補(bǔ)丁的漏洞。

此類未打補(bǔ)丁的漏洞比例最高的集中在Linux社區(qū)，比例高達(dá)53%，甲骨文公司達(dá)到38%，NOVELL為31%,IBM為27%。

X-Force還在關(guān)注網(wǎng)絡(luò)應(yīng)用軟件漏洞，網(wǎng)站中潛在的危險(xiǎn)環(huán)境會(huì)導(dǎo)致數(shù)據(jù)丟失和其他危害。

還有些不好的消息：大約67%的網(wǎng)絡(luò)應(yīng)用軟件問(wèn)題到2009年沒(méi)有打補(bǔ)丁解決。交叉腳本漏洞導(dǎo)致SQL注入式攻擊成為所發(fā)現(xiàn)的網(wǎng)絡(luò)應(yīng)用軟件漏洞中排名第一的類型。

交叉腳本是一種允許運(yùn)行本不該運(yùn)行的腳本的攻擊，這種攻擊會(huì)被黑客利用來(lái)竊取信息。SQL注入式攻擊會(huì)在驗(yàn)證輸入命令時(shí)發(fā)動(dòng)，而不是通過(guò)執(zhí)行后端數(shù)據(jù)庫(kù)的做法，這種方式也會(huì)泄露數(shù)據(jù)和導(dǎo)致其他惡意的后果。

克魯斯表示，據(jù)IBM公司的跟蹤調(diào)查，2008年度每天發(fā)現(xiàn)的SQL注入式攻擊數(shù)量約為5000個(gè)。IBM公司注意到每天發(fā)生的SQL注入式攻擊數(shù)量上升到了百萬(wàn)，這是因?yàn)楣粽呃米詣?dòng)化工具來(lái)尋找薄弱的網(wǎng)站。

很多時(shí)候黑客通過(guò)SQL注入將HTML插入到網(wǎng)頁(yè)中，引誘用戶去點(diǎn)擊其他的網(wǎng)站。

克魯斯介紹說(shuō)，黑客還試圖獲取擁有固定用戶群體的合法網(wǎng)站上的惡意鏈接，這樣用戶權(quán)就會(huì)被誘導(dǎo)到存在風(fēng)險(xiǎn)的網(wǎng)站。IBM公司稱他們還發(fā)現(xiàn)，2009年惡意網(wǎng)站鏈接的數(shù)量急劇攀升。

盡管2009年所發(fā)現(xiàn)的SQL注入式攻擊漏洞數(shù)量有所下降，但許多網(wǎng)絡(luò)應(yīng)用軟件都是定制軟件，因此他們比通用網(wǎng)絡(luò)應(yīng)用程序的問(wèn)題更多。

克魯斯稱"鑒別和修正網(wǎng)絡(luò)應(yīng)用軟件漏洞的重要性無(wú)論何時(shí)都是當(dāng)務(wù)之急"。

kuangmin