■張立

無形威脅走向生命終點的高風(fēng)險應(yīng)用程序

■張立

在走向生命的終點之后，應(yīng)用程序?qū)⒉辉偈艿狡湓奸_發(fā)商的維護(hù)，且無法繼續(xù)獲得任何后續(xù)安全更新。然而，很多用戶在這種情況下往往忘記從自己的設(shè)備上將這些應(yīng)用刪除，或者干脆沒有意識到這有可能帶來安全風(fēng)險。

“如果某款程序已經(jīng)壽終正寢，那么請立刻將其卸載，”Secunia Research公司研究與安全主管Kasper Lindgaard指出，他同時還整理出一份目前此類風(fēng)險程度最高的應(yīng)用程序清單?！叭绻蠹也辉偈褂媚晨畛绦?，將其卸載能夠保證大家不至于最終忘記了它的存在。而如果任由其繼續(xù)存在于后臺當(dāng)中，那么它可能變得愈發(fā)陳舊且漏洞百出。”

2013 年，用戶設(shè)備上的平均已到期應(yīng)用程序數(shù)量占比為整體應(yīng)用的3%到4%，不過在過去12個月當(dāng)中、這一比例已經(jīng)增長到5%到6%之間。

根據(jù)Secunia公司于10月末發(fā)布的一份報告，以下十款應(yīng)用程序為目前市場份額最為可觀的高風(fēng)險應(yīng)用程序。

Adobe Flash Player 18.x

最初發(fā)布時間：2015年6月

根據(jù)Secunia方面所言，F(xiàn)lash Player 18的生命終點為今年9月22日。從歷史角度講，F(xiàn)lash Player的上代版本已經(jīng)成為用戶設(shè)備當(dāng)中最為常見的過期程序。今年7月，F(xiàn)lash Player 17成為影響范圍最大的已過期程序，其存在于78%的普通用戶設(shè)備當(dāng)中;而今年4月的過期程序王者則為Flash Player 16，覆蓋比例同樣為78%。將視線轉(zhuǎn)向今年1月，Secunia公司曾在報告中指出，F(xiàn)lash Player 15是當(dāng)時風(fēng)險最高的應(yīng)用程序，其覆蓋比例達(dá)到73%。而在去年10月的報告內(nèi)，Adobe Flash Player 14剛剛過期，但仍然存在于77%的用戶設(shè)備當(dāng)中。

微軟XML Core Services 4.x

其誕生時間為2009年，而壽終正寢之時則為2014年4月。在當(dāng)時，該應(yīng)用程序仍然存在于79%的用戶設(shè)備當(dāng)中，其中43%甚至沒有進(jìn)行過補(bǔ)丁安裝，這就意味著其即使是在尚受支持的周期之內(nèi)仍然會引發(fā)安全風(fēng)險，Secunia方面強(qiáng)調(diào)稱。而截至去年，該應(yīng)用程序仍然占據(jù)著76%的用戶設(shè)備比例。

很多用戶甚至完全不知道這款應(yīng)用程序的存在。而在另一些情況下，將其移除可能會導(dǎo)致其它軟件停止工作。

甲骨文Java JRE 1.7.x與7.x

最初發(fā)布于2011年，支持終止時間為2015年4月。

Java廣泛存在于各類網(wǎng)絡(luò)瀏覽器當(dāng)中，這也使其成為最為流行的一種攻擊實現(xiàn)途徑。而且與微軟XML Core Services類似，Java也存在著安全補(bǔ)丁安裝缺失的問題。在支持正式結(jié)束之前，Java JRE 1.7與7總計存在于44%的用戶設(shè)備當(dāng)中，其中80%未及時安裝最新安全補(bǔ)丁。

谷歌Chrome 44.x

最初發(fā)布于2015年7月，但隨后于同年9月被谷歌Chrome 45所取代。

Chrome與火狐瀏覽器的上兩個版本都成為Secunia公司針對過去兩年所發(fā)布的十大高風(fēng)險過期應(yīng)用程序榜單中的一員，這顯然是因為用戶總是懶于將它們更新到最新版本。

谷歌Chrome 43.x

根據(jù)Clicky Web Analytics公司的調(diào)查——其立足于超過50萬個網(wǎng)站對瀏覽器的流量份額進(jìn)行了計算——Chrome 43的過渡期較正常水平要略長一些，這可能是受到夏季天氣火熱而用戶不愿長時間坐在電腦前面的影響，總之使用者往往沒有立即對其進(jìn)行更新。此版本最初發(fā)布于2015年5月，并于同年7月為谷歌Chrome 45瀏覽器所取代。

Mozilla火狐39.x

最初發(fā)布于今年7月，隨后被8月推出的火狐40所取代。

根據(jù)Mozilla公司于幾年前進(jìn)行的一次調(diào)查顯示，大多數(shù)用戶都沒能對自己的瀏覽器進(jìn)行及時更新——這一方面是因為他們對自己的現(xiàn)有版本比較滿意而意識不到更新的必要性，另一方面則因為他們往往因為工作繁忙而無暇立即執(zhí)行更新——這種情況下，版本更新就成了偶爾會被想起的次要任務(wù)。

Mozilla火狐40.x

與Chrome 43類似，火狐40于今年夏季被新版本所取代，但其過渡時間比正常時間稍長。此版本最初發(fā)布于今年8月，并被9月出爐的火狐41所取代。

Adobe AIR 18.x

最初發(fā)布于2015年6月。Adobe AIR 19——也就是其最新版本——于今年9月推出。

Adobe AIR允許開發(fā)人員將同一應(yīng)用程序打包至多種不同系統(tǒng)平臺——包括Windows、Macintosh、iOS以及Android。在Secunia過去兩年內(nèi)發(fā)布的十大過期程序當(dāng)中，至少有兩個版本的Adobe AIR榜上有名。

甲骨文Java JRE 1.6.x與6.x

在2013年第二季度官方支持正式結(jié)束之前，Secunia方面報告稱Java JRE 1.6與6存在于53%的用戶設(shè)備當(dāng)中——其中75%未及時安裝更新補(bǔ)丁。而在2013年第三季度，該軟件正式迎來了生命終點，但其仍然存在于39%的用戶設(shè)備之內(nèi)。它已經(jīng)成為存在時間最長的主流過期應(yīng)用程序，這是因為相當(dāng)一部分用戶甚至根本沒有意識到它仍然存在于自己的計算設(shè)備當(dāng)中，或者為了保持兼容性而主動選擇繼續(xù)使用。其最初發(fā)布于2006年，支持結(jié)束時間則為2013年。

Adobe AIR 3.x

Adobe AIR 3.x在2013年第四季度位列十大安全風(fēng)險最高的應(yīng)用程序之列，而當(dāng)時其官方支持尚未正式結(jié)束。它存在于43%的用戶設(shè)備當(dāng)中，其中52%未及時安裝更新補(bǔ)丁。不過隨時該應(yīng)用程序走向生命終點，這一未更新比例變得無關(guān)緊要——因為黑客們開始不斷從中發(fā)現(xiàn)新的安全漏洞。即使是那些已經(jīng)進(jìn)行了妥善更新的安裝版本也會在官方支持結(jié)束后遭到入侵。其最初發(fā)布于2011年，而2014年3月推出的AIR 4是其正式繼任者。