1360 個(gè)！2024 年微軟產(chǎn)品漏洞數(shù)量創(chuàng)紀(jì)錄，Edge 瀏覽器漏洞數(shù)增長 17%

IT之家 4 月 16 日消息，網(wǎng)絡(luò)安全公司 BeyondTrust 昨日（4 月 15 日）發(fā)布報(bào)告，稱 2024 年微軟產(chǎn)品漏洞數(shù)量共計(jì) 1360 個(gè)，相比較此前紀(jì)錄（2022 年創(chuàng)造，1292 個(gè)），再增加 11%。

IT之家援引報(bào)告內(nèi)容，權(quán)限提升（EoP）漏洞占據(jù) 40%，成為攻擊者最青睞的攻擊方式；安全功能繞過漏洞更是暴增 60%，從 2023 年的 56 個(gè)增至 2024 年的 90 個(gè)。

報(bào)告還指出，2024 年微軟 Edge 瀏覽器漏洞總數(shù)達(dá) 292 個(gè)，增長 17%，其中包括 9 個(gè)關(guān)鍵漏洞，而 2022 年這一數(shù)字為零。

報(bào)告認(rèn)為微軟亟需加強(qiáng)軟件[IT江湖]設(shè)計(jì)階段的安全編碼和威脅建模（Threat Modeling），從而減少漏洞產(chǎn)生。

盡管挑戰(zhàn)嚴(yán)峻，微軟生態(tài)系統(tǒng)的關(guān)鍵漏洞在 2024 年持續(xù)下降，顯示出微軟安全舉措和現(xiàn)代操作系統(tǒng)安全架構(gòu)的改進(jìn)成效。微軟 Azure 和 Dynamics 365 的漏洞數(shù)量趨于穩(wěn)定，漏洞增長速度也有所放緩。

BeyondTrust 的首席技術(shù)官 James Maude 表示：“今年的數(shù)據(jù)清楚提醒我們，威脅形勢并未減緩，反而在快速演變。權(quán)限提升漏洞的持續(xù)主導(dǎo)地位表明，攻擊者高度重視權(quán)限價(jià)值，他們會(huì)繼續(xù)瞄準(zhǔn)有權(quán)限的身份以橫向移動(dòng)并訪問關(guān)鍵系統(tǒng)。”

他強(qiáng)調(diào)，單純依賴補(bǔ)丁（Patches）不足以解決問題，補(bǔ)丁可能失效或帶來穩(wěn)定性風(fēng)險(xiǎn)。組織必須聚焦權(quán)限路徑安全，構(gòu)建多層防御，減少每個(gè)身份和訪問點(diǎn)的攻擊面，以應(yīng)對攻擊者不斷創(chuàng)新的繞過防御手段。