今日新聞記者蘇湘雲/台北報導 (2010/08/30 09:38)
據IBM(國際商業機器公司)一項2010年年中趨勢與風險報告發現,今年上半年IT產業公開揭露了4396個新安全漏洞,比去年上半年增加了 36%,但是到6月底前仍有55%的漏洞尚未被修補,軟體可能遭駭客利用的攻擊漏洞數目迅速竄升,愈來愈多的攻擊是藏匿在JavaScript及PDF 中。
IBM安全部門總經理羅賓遜(Steve Robinson)說,今年的這項X-Force報告顯示雖然威脅數量上升,但業界在回報攻擊漏洞方面越來越警覺。但是報告中仍指出,使用網頁瀏覽器操作的網路應用軟體佔所有攻擊漏洞的55%,「這個數據可能只是冰山一角,因為其中還不包括客製化的網路應用程式。」
報告並指出,在這些利用軟體「安全弱點」所發動的駭客攻擊中,愈來愈多的手法是藏匿在JavaScript及PDF中,躲避過傳統網路安全工具偵測而進入企業網路,以JavaScript混淆攻擊手法最為普遍,這類攻擊把惡意程式藏在文件檔或網頁上,2010年上半年採用該手法的攻擊數量比去年增加了52%。
而透過PDF檔發動的攻擊手法也逐漸普及,在前五大瀏覽器攻擊程式中包辦了其中3個,報告顯示,今年上半年明顯的一波惡意PDF攻擊出現在4月,大多是用來散布Zeus及Pushdo殭屍程式,偵測到攻擊數量比今年上半年的平均值多了37%。
此外,金融機構仍是網路釣魚攻擊的首選目標,佔所有網釣攻擊的49%,但調查顯示今年的網釣攻擊行動大幅減少,比去年同期少了82%。IBM說,儘管數字驟降,但信用卡、政府機關、線上付款機構,以及拍賣網站仍應堤防相關攻擊。