無形威脅走向生命終點(diǎn)的高風(fēng)險(xiǎn)應(yīng)用程序

■張立

無形威脅走向生命終點(diǎn)的高風(fēng)險(xiǎn)應(yīng)用程序

■張立

在走向生命的終點(diǎn)之后，應(yīng)用程序?qū)⒉辉偈艿狡湓奸_發(fā)商的維護(hù)，且無法繼續(xù)獲得任何后續(xù)安全更新。然而，很多用戶在這種情況下往往忘記從自己的設(shè)備上將這些應(yīng)用刪除，或者干脆沒有意識(shí)到這有可能帶來安全風(fēng)險(xiǎn)。

“如果某款程序已經(jīng)壽終正寢，那么請(qǐng)立刻將其卸載，”Secunia Research公司研究與安全主管Kasper Lindgaard指出，他同時(shí)還整理出一份目前此類風(fēng)險(xiǎn)程度最高的應(yīng)用程序清單。“如果大家不再使用某款程序，將其卸載能夠保證大家不至于最終忘記了它的存在。而如果任由其繼續(xù)存在于后臺(tái)當(dāng)中，那么它可能變得愈發(fā)陳舊且漏洞百出?！?/p>

2013 年，用戶設(shè)備上的平均已到期應(yīng)用程序數(shù)量占比為整體應(yīng)用的3%到4%，不過在過去12個(gè)月當(dāng)中、這一比例已經(jīng)增長到5%到6%之間。

根據(jù)Secunia公司于10月末發(fā)布的一份報(bào)告，以下十款應(yīng)用程序?yàn)槟壳笆袌龇蓊~最為可觀的高風(fēng)險(xiǎn)應(yīng)用程序。

Adobe Flash Player 18.x

最初發(fā)布時(shí)間：2015年6月

根據(jù)Secunia方面所言，F(xiàn)lash Player 18的生命終點(diǎn)為今年9月22日。從歷史角度講，F(xiàn)lash Player的上代版本已經(jīng)成為用戶設(shè)備當(dāng)中最為常見的過期程序。今年7月，F(xiàn)lash Player 17成為影響范圍最大的已過期程序，其存在于78%的普通用戶設(shè)備當(dāng)中;而今年4月的過期程序王者則為Flash Player 16，覆蓋比例同樣為78%。將視線轉(zhuǎn)向今年1月，Secunia公司曾在報(bào)告中指出，F(xiàn)lash Player 15是當(dāng)時(shí)風(fēng)險(xiǎn)最高的應(yīng)用程序，其覆蓋比例達(dá)到73%。而在去年10月的報(bào)告內(nèi)，Adobe Flash Player 14剛剛過期，但仍然存在于77%的用戶設(shè)備當(dāng)中。

微軟XML Core Services 4.x

其誕生時(shí)間為2009年，而壽終正寢之時(shí)則為2014年4月。在當(dāng)時(shí)，該應(yīng)用程序仍然存在于79%的用戶設(shè)備當(dāng)中，其中43%甚至沒有進(jìn)行過補(bǔ)丁安裝，這就意味著其即使是在尚受支持的周期之內(nèi)仍然會(huì)引發(fā)安全風(fēng)險(xiǎn)，Secunia方面強(qiáng)調(diào)稱。而截至去年，該應(yīng)用程序仍然占據(jù)著76%的用戶設(shè)備比例。

很多用戶甚至完全不知道這款應(yīng)用程序的存在。而在另一些情況下，將其移除可能會(huì)導(dǎo)致其它軟件停止工作。

甲骨文Java JRE 1.7.x與7.x

最初發(fā)布于2011年，支持終止時(shí)間為2015年4月。

Java廣泛存在于各類網(wǎng)絡(luò)瀏覽器當(dāng)中，這也使其成為最為流行的一種攻擊實(shí)現(xiàn)途徑。而且與微軟XML Core Services類似，Java也存在著安全補(bǔ)丁安裝缺失的問題。在支持正式結(jié)束之前，Java JRE 1.7與7總計(jì)存在于44%的用戶設(shè)備當(dāng)中，其中80%未及時(shí)安裝最新安全補(bǔ)丁。

谷歌Chrome 44.x

最初發(fā)布于2015年7月，但隨后于同年9月被谷歌Chrome 45所取代。

Chrome與火狐瀏覽器的上兩個(gè)版本都成為Secunia公司針對(duì)過去兩年所發(fā)布的十大高風(fēng)險(xiǎn)過期應(yīng)用程序榜單中的一員，這顯然是因?yàn)橛脩艨偸菓杏趯⑺鼈兏碌阶钚掳姹尽?/p>

谷歌Chrome 43.x

根據(jù)Clicky Web Analytics公司的調(diào)查——其立足于超過50萬個(gè)網(wǎng)站對(duì)瀏覽器的流量份額進(jìn)行了計(jì)算——Chrome 43的過渡期較正常水平要略長一些，這可能是受到夏季天氣火熱而用戶不愿長時(shí)間坐在電腦前面的影響，總之使用者往往沒有立即對(duì)其進(jìn)行更新。此版本最初發(fā)布于2015年5月，并于同年7月為谷歌Chrome 45瀏覽器所取代。

Mozilla火狐39.x

最初發(fā)布于今年7月，隨后被8月推出的火狐40所取代。

根據(jù)Mozilla公司于幾年前進(jìn)行的一次調(diào)查顯示，大多數(shù)用戶都沒能對(duì)自己的瀏覽器進(jìn)行及時(shí)更新——這一方面是因?yàn)樗麄儗?duì)自己的現(xiàn)有版本比較滿意而意識(shí)不到更新的必要性，另一方面則因?yàn)樗麄兺驗(yàn)楣ぷ鞣泵Χ鵁o暇立即執(zhí)行更新——這種情況下，版本更新就成了偶爾會(huì)被想起的次要任務(wù)。

Mozilla火狐40.x

與Chrome 43類似，火狐40于今年夏季被新版本所取代，但其過渡時(shí)間比正常時(shí)間稍長。此版本最初發(fā)布于今年8月，并被9月出爐的火狐41所取代。

Adobe AIR 18.x

最初發(fā)布于2015年6月。Adobe AIR 19——也就是其最新版本——于今年9月推出。

Adobe AIR允許開發(fā)人員將同一應(yīng)用程序打包至多種不同系統(tǒng)平臺(tái)——包括Windows、Macintosh、iOS以及Android。在Secunia過去兩年內(nèi)發(fā)布的十大過期程序當(dāng)中，至少有兩個(gè)版本的Adobe AIR榜上有名。

甲骨文Java JRE 1.6.x與6.x

在2013年第二季度官方支持正式結(jié)束之前，Secunia方面報(bào)告稱Java JRE 1.6與6存在于53%的用戶設(shè)備當(dāng)中——其中75%未及時(shí)安裝更新補(bǔ)丁。而在2013年第三季度，該軟件正式迎來了生命終點(diǎn)，但其仍然存在于39%的用戶設(shè)備之內(nèi)。它已經(jīng)成為存在時(shí)間最長的主流過期應(yīng)用程序，這是因?yàn)橄喈?dāng)一部分用戶甚至根本沒有意識(shí)到它仍然存在于自己的計(jì)算設(shè)備當(dāng)中，或者為了保持兼容性而主動(dòng)選擇繼續(xù)使用。其最初發(fā)布于2006年，支持結(jié)束時(shí)間則為2013年。

Adobe AIR 3.x

Adobe AIR 3.x在2013年第四季度位列十大安全風(fēng)險(xiǎn)最高的應(yīng)用程序之列，而當(dāng)時(shí)其官方支持尚未正式結(jié)束。它存在于43%的用戶設(shè)備當(dāng)中，其中52%未及時(shí)安裝更新補(bǔ)丁。不過隨時(shí)該應(yīng)用程序走向生命終點(diǎn)，這一未更新比例變得無關(guān)緊要——因?yàn)楹诳蛡冮_始不斷從中發(fā)現(xiàn)新的安全漏洞。即使是那些已經(jīng)進(jìn)行了妥善更新的安裝版本也會(huì)在官方支持結(jié)束后遭到入侵。其最初發(fā)布于2011年，而2014年3月推出的AIR 4是其正式繼任者。