查看原文
其他

零日计划(ZDI)2016年发布674份漏洞报告 支付奖金200万美元

2017-01-13 E安全 E安全

E安全1月13日讯 趋势科技(Trend Micro)在“2016回顾”报告中表示,其公司的零日计划(Zero Day Initiative,ZDI)去年发布了674份漏洞报告,并向提交漏洞报告的研究人员支付奖金近200万美元。

ZDI通过物质奖酬鼓励负责任的漏洞披露,但趋势科技未将获得的漏洞进行转售或再分发。而是利用这些信息保护TippingPoint客户在补丁发布之前免受潜在攻击。

所有这些报告中,其中有54个漏洞在披露之时未进行修补。但其余的漏洞在与受影响厂商协调的情况下得以成功解决。研究人员报告了许多漏洞,但ZDI驳回了近43%。

其中,最令人关注的漏洞包括Internet Explorer (CVE-2016-3382)、Edge (CVE-2016-0158)、Windows (CVE-2016-7272)、OS X (CVE-2016-1806), Flash Player (CVE-2016-7857)和Chrome (CVE-2016-5161)。CVE-2016-1806在Pwn2Own黑客大赛上被披露 。

去年,一些研究人员表现突出,包括kdot(30份报告)、bee13oy(18份报告)、rgod(15份报告)和Steven Seeley(20份报告)。这些专家在厂商解决漏洞时便公开发布十几份其它的报告。发布的报告中,其中有12%是ZDI内部员工提供的。

去年,ZDI共发布674份报告,其中149份涉及影响Adobe产品的漏洞,占总数的22%。值得注意的是,Adobe for Flash Player 在11月“补丁星期二”发布更新,解决了9个漏洞(所有这些漏洞都是ZDI向Adobe报告的)。

令人惊讶的是,工业自动化解决方案提供商Advantech的漏洞报告数量在厂商中排名第二(112份)。排行前10的厂商还包括Microsoft、 Apple、 Foxit、Oracle、Solarwinds、Trend Micro、HPE和Google。

ZDI的Dustin Childs表示,“有趣的事实是,关于苹果产品的漏洞报告在增加。虽然2014年和2015年苹果产品的漏洞报告仅占4%,但2016年,其报告为61份,占比上升至9%。让我们看看2017年这种趋势是否还将继续。”

目前,未来四个月有379份待披露的漏洞报告,这表明2017年发布的漏洞报告数量至少跟2016年一致。

E安全注:本文系E安全独家报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存