安全公司 Risk Based Security 新近發布的報告顯示，2017年安全漏洞披露數量達創紀錄的20,832個。

#38136934389f1c9b009d309318a7cf5b#

該公司的《漏洞數據庫速查》( VulnDB QuickView )報告稱，去年披露的漏洞數量環比上升31.0%。美國國家漏洞數據庫(NVD)收錄的漏洞數量同樣增加了。

Risk Based Security 公布的2017年披露漏洞中，7900個并未收錄進MITRE的通用漏洞列表(CVE)和NVD，其中44.5%的漏洞在新版通用漏洞評分系統(CVSSv2)中得分處于7.0到10之間，屬于高危漏洞。這就給全世界各類組織機構帶來了重大風險，因為未收錄進CVE和NVD的事實可能會讓他們根本沒有注意到這些漏洞的存在。

報告稱，2017年，39.3%的被披露漏洞CVSSv2得分超過7.0，其中48.5%可被遠程利用，31.5%有公開的漏洞利用程序。2017年漏洞中過半數(50.6%)與網站相關，而28.9%的網站相關漏洞是跨站腳本漏洞。

CVSS得分在9.0到10.0之間超高危漏洞的十大出品商包括谷歌(503個漏洞)、SUSE(301)、Canonical(285)、紅帽(274)、Silent Circle 子公司SGP(257)、Adobe(256)、Mozilla(246)、三星(228)、Oracle(201)和施樂(198)。

#3e66bb41468f2a6d431d493316aca452#

帶CVSSv2評分上9.0的漏洞最多的十大產品包括谷歌）Pixel/Nexus設備(354個漏洞)、Ubuntu (285)、SilentOS (257)、紅帽 Linux (253)、Firefox (246)、SUSE Linux 企業級桌面系統 (226)、三星移動設備 (226)、SUSE Linux 企業級服務器系統 (197)、OpenSUSE Leap (196)和 FreeFlow Print Server (191)。

去年，至少44.8% (9,335) 的漏洞是與廠商協同披露的，只有18.6% (3,875)不是協同披露。經由廠商或第三方漏洞獎勵項目曝光的漏洞僅占5.9%。

雖然大部分被披露漏洞(72.8%)都推出了更新或某種形式的補丁，但23.2%的漏洞目前沒有可用解決方案。不過，去年報告的漏洞中有443個是沒有任何風險的不準確披露，亞洲服務器租用 歐洲服務器，沒有必要做任何緩解。

報告還揭示，2017年報告的漏洞中存在于SCADA產品中的只有1.7%，域名注冊，比2016年的2.8%減少了不少。52.2%的SCADA漏洞是可遠程利用的，73.5%對產品完整性有影響，61.3%與不恰當的輸入驗證有關。

Risk Based Security 漏洞情報副總裁布萊恩·馬丁稱：“跟蹤并分類漏洞補丁的機構在2017年并不輕松，因為這是漏洞披露創紀錄的一年。我們持續見證被黑企業和數據泄露事件的增多，數字資產防護工作的難度和重要性屢創新高。如果你的漏洞情報解決方案沒有覆蓋2017年披露的2萬多個漏洞，那你的公司必然面臨比以往更大的風險。”

完整報告地址：https://pages.riskbasedsecurity.com/hubfs/Reports/2017/2017%20Year%20End%20Vulnerability%20QuickView%20Report.pdf