Risk Based Security 的 VulnDB 团队发布的一份《2020 年中漏洞速览报告》指出,受疫情影响,在第一季度的披露漏洞数量低于平常水平之后;目前,主要技术公司披露的漏洞数量已逐渐恢复到正常水平。2020 年上半年众公司共披露了 11,121 个漏洞,按着这一的发展趋势,今年披露的漏洞总数或有望超过去年。
报告称,在年中汇总的 11,121 个漏洞中,有 818 个是“Vulnerability Fujiwhara Effect”的结果。这是 Risk Based Security 采用的一个术语,用来描述微软和甲骨文漏洞披露时间表相撞的事件。
针对现如今科技公司都选择在同一天公开发布所有最新漏洞的这一趋势。Risk Based Security 公司漏洞情报副总裁 Brian Martin 批评称,“我们知道,这些事件无疑会给 IT 人员和漏洞管理员带来重大的压力。在 4 月份的 Fujiwhara 活动中,我们看到了包含 506 个新漏洞的报告,其中 79% 来自 7 家厂商。不幸的是,对我们所有人来说,这很可能是我们可以预期的,未来会更频繁地发生的事件。庞大的数量让人不禁要问,这种一次全部披露漏洞的做法到底让谁受益。当然不是付费客户。”
该报告通过列出和细分漏洞数量最高的供应商和产品,进一步详细介绍了披露领域。其中最值得注意的是微软,与 2019 年全年相比,该公司在 2020 年前六个月内披露的漏洞数量去年同期的 762 条相比增长了 150%,远远超过其他所有供应商;Windows10 则是第二季度末漏洞披露最多的产品。
此外,令人担忧的是,在 2020 年上半年披露的漏洞中,有 30% 的漏洞没有 CVE ID。另外有 3% 的漏洞虽然分配了 CVE ID,但仍处于保留状态,这意味着依旧没有有关该漏洞的信息。
Martin 称,“鉴于所披露的漏洞数量太过庞大,依靠 CVE/NVD 的组织将难以找到及时和可操作的情报。NVD 内发现的最低限度的元数据不足以让组织正确地确定优先级以及进行补救。通过依靠 CVE 来提供完整和及时的数据,组织自身的风险正在增加。目前组织每天面临的漏洞披露水平已经超出了 CVE 的处理能力,而且只会变得更糟。”
