趋势科技的ZDI(零日计划)发布了一份674个漏洞的年度报告,根据这份名为“2016回顾”的报告,ZDI计划在一年内共向漏洞报告者支付了近200万美元的赏金。
ZDI用奖金来鼓励漏洞披露,然而该公司没有将手中的漏洞进行售卖或分发,而是使用用相关信息来保护TippingPoint的消费者免受潜在的攻击,这种防护甚至会早于补丁。
在这份报告中,有54个漏洞没有在披露的时候完成修补,其余的漏洞都在ZDI和受影响供应商的妥善合作中得以解决。研究人员在过去的一年里向ZDI提交了很多漏洞,但是其中43%左右的漏洞未被ZDI所认可。
2016年间ZDI收集到的最有趣的漏洞,包括影响IE浏览器(CVE-2016-3382)、Edge引擎(CVE-2016-0158)、Windows系统(CVE-2016-7272)、OS X 系统(CVE-2016-1806)、Flash播放器(CVE-2016-7857)和谷歌浏览器(CVE-2016-5161)。其中影响OS X系统的CVE-2016-1806在Pwn2Own大赛上被公开。
一些研究人员在去年表现突出,包括kdot(30份报告),bee13oy(18份报告),rgod(15份报告)和史蒂芬·斯利(20份警告)。这些专家的其他报告会在供应商修复漏洞后尽快发布。所发布的漏洞报告中有12%是零日计划的员工的成果。
在去年公布的674个漏洞报告中,有149个漏洞涉及Adobe产品,占总数的22%。值得注意的是,Adobe Flash Player在11月的周二推送的安全补丁修复的九个漏洞,都是由ZDI汇报给这家软件巨头的。
令人惊讶的是,报告中受影响第二大(112个相关漏洞)的厂商,是提供工业自动化解决方案的研华科技(Adventech)。微软、苹果、福昕阅读器、甲骨文、太阳风、趋势科技、惠普(HPE)和谷歌也“跻身”前十。
本文转自d1net(转载)