漏洞数量有望再次突破历史记录 零日下降 虚拟化激增

“零日计划”( ZDI：Zero Day Initiative )2018年上半年收到的漏洞报告数量环比增长了33%，有望打破2017“史上最繁忙漏洞年”记录。

从年初到现在，ZDI已向提交漏洞的研究人员支付了超过100美元的漏洞奖金。回顾2018年上半年，ZDI发布了破纪录的600个漏洞警报；而去年同期，这个数字是451。尽管2017年被称为“史上最繁忙漏洞年”，33%的漏洞报告增幅还是让2018年看起来有打破2017年记录的趋势。

虽然报告的漏洞数量上升，发布的漏洞警报也比去年同期多了很多，但零日漏洞报告却环比下降了42%。

微软、苹果、Adobe、SCADA、虚拟化软件漏洞趋势

ZDI指出了下列几大“有趣”趋势：

微软：微软相关漏洞比去年同期增长了惊人的121%。其中一大部分都是浏览器相关，显示出IE、Edge和 Chakra Core 的运行时编译(JIT)漏洞是如何变成2018年的释放后使用(UAF)漏洞的。考虑到微软今年上半年仅比去年同期多发布了8%的补丁，ZDI认为，漏洞报告数量的上升，表明的是微软产品的增多，而非产品中漏洞的增加。ZDI手里现在还握有其他39个等待补丁推出的微软漏洞。

苹果：苹果产品漏洞报告数量比去年同期下降了28.5%。但这不过是一种假象。ZDI称，苹果漏洞报告数量较少的结果，并没有考虑进2017年Pwn2Own上曝出的多个苹果漏洞。如果去掉2017年Pwn2Own上收获的漏洞，那么苹果今年上半年漏洞报告数量就环比增长了36%。而且，ZDI手中等待修复的30个苹果安全漏洞也印证了这一点。

SCADA：SCADA漏洞报告数量简直就是激增，占据了上半年ZDI收到漏洞提交总数的30%。普罗大众并没有意识到SCADA产品也是IoT控制的一种，可以造成的影响远不仅止基础设施和制造业。SCADA漏洞的猛增，源自Advantech、Delta Industrial 和Omron产品中被上报的漏洞。

ZDI发布了132个Advantech安全警报，占今年截至目前全部漏洞报告的22%。Delta advisories 安全警报26个，Omron安全警报22个，各自贡献了安全警报总数的4%。

Adobe：2018年1月到6月，Adobe漏洞报告数相比去年同期仅增加了2个。换句话说，ZDI发布了94个Adobe安全警报，占今年安全警报总数的16%，而去年同期这个占比是20%。Adobe漏洞份额上减少的这4%，贡献到了SCADA漏洞增加的那30%中。

虚拟化软件：与安全研究人员在虚拟化软件中追捕漏洞有关的另一趋势。此类漏洞报告增幅达到了令人难以置信的275%！今年Pwn2Own上曝出的 Oracle VirtualBox 漏洞，再加上ZDI收到的VMware漏洞报告，充分表明了虚拟化产品安全研究方兴未艾。

所有迹象都指向了漏洞研究的持续成长，以及2018年下半年新漏洞报告率的增加。ZDI指出，难以预测2018年剩下的时光会是个什么情况，但如果以2017作为参考，未来半年可能会更忙于应付层出不穷的漏洞。