但IBM公司表示文本閱讀器，編輯器和多媒體應(yīng)用軟件中的漏洞數(shù)量攀升了50%。IBM公司將這些漏洞歸類為客戶端漏洞，也包括哪些影響到瀏覽器和操作系統(tǒng)的漏洞。

在五中最常見的網(wǎng)站漏洞中，有三種是關(guān)于PDF文件的。攻擊者利用Adobe的PDF軟件的漏洞成功發(fā)動入侵，并通過垃圾郵件和惡意網(wǎng)站發(fā)動攻擊。

IBM公司研究經(jīng)歷湯姆.克魯斯表示"確實有那么一幫壞家伙專門把攻擊目標對準這類軟件"。

其他兩款漏洞涉及Flash和可以允許用戶在IE上查看微軟辦公自動化文檔的ActiveX控件。

瀏覽器是客戶端漏洞藏身最多的地方。2009年，Mozilla的火狐瀏覽器高風(fēng)險漏洞的數(shù)量是IE瀏覽器的兩倍，但是好的一方面是，到年底時所有的問題都打好了補丁。

超過一半的高風(fēng)險客戶端漏洞就影響到四家廠商：即微軟，Adobe, Mozilla和蘋果。從平均數(shù)來看，多數(shù)廠商對66%的明顯漏洞打了補丁，蘋果這方面表現(xiàn)是最差的，只給38%的漏洞打了補丁。

IBM公司還關(guān)注到了整體打補丁率。X-Force對Motion, the GNU community,思科,Adobe Systems和惠普的研究數(shù)據(jù)顯示，到2009年底思科公司未打補丁的高風(fēng)險漏洞數(shù)量僅為1%，其他公司沒有未打補丁的漏洞。

此類未打補丁的漏洞比例最高的集中在Linux社區(qū)，比例高達53%，甲骨文公司達到38%，NOVELL為31%,IBM為27%。

X-Force還在關(guān)注網(wǎng)絡(luò)應(yīng)用軟件漏洞，網(wǎng)站中潛在的危險環(huán)境會導(dǎo)致數(shù)據(jù)丟失和其他危害。

還有些不好的消息：大約67%的網(wǎng)絡(luò)應(yīng)用軟件問題到2009年沒有打補丁解決。交叉腳本漏洞導(dǎo)致SQL注入式攻擊成為所發(fā)現(xiàn)的網(wǎng)絡(luò)應(yīng)用軟件漏洞中排名第一的類型。

交叉腳本是一種允許運行本不該運行的腳本的攻擊，這種攻擊會被黑客利用來竊取信息。SQL注入式攻擊會在驗證輸入命令時發(fā)動，而不是通過執(zhí)行后端數(shù)據(jù)庫的做法，這種方式也會泄露數(shù)據(jù)和導(dǎo)致其他惡意的后果。

克魯斯表示，據(jù)IBM公司的跟蹤調(diào)查，2008年度每天發(fā)現(xiàn)的SQL注入式攻擊數(shù)量約為5000個。IBM公司注意到每天發(fā)生的SQL注入式攻擊數(shù)量上升到了百萬，這是因為攻擊者利用自動化工具來尋找薄弱的網(wǎng)站。

很多時候黑客通過SQL注入將HTML插入到網(wǎng)頁中，引誘用戶去點擊其他的網(wǎng)站。

克魯斯介紹說，黑客還試圖獲取擁有固定用戶群體的合法網(wǎng)站上的惡意鏈接，這樣用戶權(quán)就會被誘導(dǎo)到存在風(fēng)險的網(wǎng)站。IBM公司稱他們還發(fā)現(xiàn)，2009年惡意網(wǎng)站鏈接的數(shù)量急劇攀升。

盡管2009年所發(fā)現(xiàn)的SQL注入式攻擊漏洞數(shù)量有所下降，但許多網(wǎng)絡(luò)應(yīng)用軟件都是定制軟件，因此他們比通用網(wǎng)絡(luò)應(yīng)用程序的問題更多。

克魯斯稱"鑒別和修正網(wǎng)絡(luò)應(yīng)用軟件漏洞的重要性無論何時都是當(dāng)務(wù)之急"。

kuangmin