TippingPoint：2009 年找到 114 個安全弱點

TippingPoint 宣佈，最近發佈的 Frost & Sullivan Vulnerability Tracker 報告，該報告調查 2009 年上半年發現的軟體安全弱點，結果 TippingPoint 比其他任何同樣接受追蹤調查的研究組織發現更多安全弱點。同時，TippingPoint 也宣佈整個年度總共發現 114 個威脅最常用之瀏覽器、作業系統和 Web 應用程式的安全弱點，而零時差計畫 (Zero Day Initiative; ZDI) 的外界貢獻者數量也增加至超過 1,100 。這些安全弱點的研究結果，已建立到過濾器和病毒碼特徵之內，維護 TippingPoint 入侵預防系統 (Intrusion Prevention System;IPS) 平台的最新保護，確保客戶能夠免於遭受最新的安全威脅。

安全威脅在 2009 年持續朝更複雜的模式演進，包括其所針對的攻擊目標和採用的方法等。一般商業應用程式例如 PDF 文件閱覽器和 Internet 瀏覽器繼續以廣大的攻擊面和誘人的潛在利益吸引駭客。

此外，以客製化 Web 應用程式為對象的攻擊在過去一年也因為企業採用率的增加而提高。蠕虫病毒例如 Conficker（2009 年最主要的安全攻擊）顯示駭客正以多重向量對這些弱點展開攻擊，並且費盡心思企圖達成其惡意目的。

Frost & Sullivan Vulnerability Tracker for 1H2009 於 2009 年 12 月發佈，其中多項關鍵的發現顯示 TippingPoint 在安全弱點研究的領導地位，包括：

• TippingPoint 報告的媒體應用程式安全弱點數量是最接近競爭者的二倍以上。
• TippingPoint 發現的瀏覽器安全弱點數量是其他任何研究組織的二倍以上。
• Heap-based overflows 緩衝區溢位攻擊是最常見的安全弱點類型，而 TippingPoint 報告的數量領先市場。
• 已報告的安全弱點中，超過 82.5% 允許攻擊者完全掌控遭受入侵的系統。這些系統可被犯罪者利用，藉以展開諸如拒絕服務攻擊、垃圾郵件發送或網路釣魚攻擊。 TippingPoint 領先所有研究組織，報告最多允許此種程式碼執行的安全弱點。

TippingPoint 資深安全研究總監 David Endler 表示：「駭客已從單純的追求榮耀演變成為一種複雜的商業模式，而且其組織架構足以和今日最成功的企業抗衡。潛在利潤孕育了一個新的網路犯罪族群，因此對於攻擊活動先機的領先掌握已變得比以往更加重要。整體而言，具備安全弱點發現能力的人們增加了，而我們也透過諸如 ZDI 等計畫看到顯著增加的技術研究人員願意站在法律正確的一邊。」

TippingPoint 的數位疫苗實驗室 (Digital Vaccine Laboratories;DVLabs) 安全研究團隊是業界安全弱點與安全研究的標竿。 DVLabs 團隊由世界知名的資安研究專家組成，運用他們的先進工程與分析專才，為 TippingPoint 產品提供安全情資。 TippingPoint 在 2005 年創立零時差計畫 (Zero-Day Initiative;ZDI)，獎勵遵循負責任之安全弱點揭露機制的外界研究人員，而迄今已成長至包含全球近 1,100 位安全研究人員。

Frost & Sullivan 北美產業經理 Robert Ayoub 指出，TippingPoint 安全弱點研究與報告計劃的成功，已因為 ZDI 研究貢獻者的爆炸性成長以及安全弱點報告數量的增加而獲得顯著強化。他說：「過去數年來，我們一直在追蹤廠商和研究組織的安全弱點報告，以便能夠更有效掌握安全風險狀態。這些年來，我們已見到大量報告從廠商和私有來源，轉移到 third-party 研究組織例如 TippingPoint 的 ZDI 計畫。 TippingPoint 在這幾年特別成功，自 2008 年以來報告的安全弱點都呈現令人印象深刻的季成長，超越其他所有組織成為市場領導者。」

Endler 表示：「Frost & Sullivan 最近的報告真正展現了 DVLabs 和 ZDI 計畫在業界無出其右的研究成果。駭客最近利用 Internet Explorer 弱點對 Google 展開的攻擊，就是我們研究人員數年來發現的主要安全弱點類型例子。 Digital Vaccine 發現並了解這些安全弱點的能力，正是這項服務之所以成為 TippingPoint 區別優勢的原因。 ZDI 和 DVLabs 深入的研究讓我們能夠在 IPS 提供如此完備的安全涵蓋。」

關於 TippingPoint 安全研究詳細資訊，請參觀 DVLabs 網站 http://dvlabs.tippingpoint.com 或零時差計畫網站 http://www.zerodayinitiative.com 。