微软产品漏洞 2020 年创 1268 个新高，Windows 占 907 个

出品|开源中国
文|白开水
BeyondTrust 发布的一份《2021 年度微软漏洞报告》指出， 2020 年发现的微软漏洞数量创历史新高达到 1268 个，同比增长 48% 。其中， Windows 是漏洞数最多的地方；存在 907 个问题，并且有 132 个是关键性漏洞。
该报告研究了微软在过去一年发布的安全公告（即补丁星期二）中的漏洞数据。数据显示，全世界每三个漏洞中就有一个是未修补的漏洞；而每天使用 Windows 操作系统的人数大约有 15 亿。 "Windows 10 在发布时被吹捧为迄今为止'最安全的 Windows 操作系统' ，但它在去年仍然出现了 132 个关键性漏洞......取消管理员权限可以缓解这些关键漏洞中的 70% 。 "
【微软产品漏洞 2020 年创 1268 个新高，Windows 占 907 个】

本文插图
报告中的一些其他主要发现还包括有：

在过去五年（2016-2020）中，报告的漏洞数量惊人地增长了 181%
一种在 2020 年缓解 56% 的所有微软关键性漏洞的简单方法
“提权”首次成为第一大漏洞类别，占总数的 44% ，是前一年的近三倍

对此，微软则暂未予置评。
报告指出， Windows Server 的关键性问题数量最多。 2020 年，微软安全公告中总共报告了 902 个影响 Windows Server 的漏洞，相较上一年增加了 35% 。而在具有严重评级的 138 个漏洞中，有 66% 可以通过删除管理员权限来缓解。
Microsoft Edge 和 Internet Explorer 8、9、10 和 11 在 2020 年总共发现了 92 个漏洞，其中 61 个（66%）被确定为关键性漏洞。报告指出， 2020 年期间， IE8、9、10 和 11 中存在 27 个关键漏洞。取消管理员权限可以缓解其中的 24 个，消除 89% 的风险。 Edge 的关键漏洞去年有所减少，从 86 个减少到 34 个。在这 34 个漏洞中，取消管理员权限可以缓解其中的 29 个（85%）。
在微软 Office 中， Excel、Word、PowerPoint、Visio、Publisher 和其他 Office 产品中存在 79 个漏洞。其中，只有 5 个被认为是关键性的；在所有的 Office 产品中，取消管理员权限就可以缓解其中的 4 个漏洞。
此外，特权提升漏洞的数量同比几乎增加了两倍。从 2019 年的 198 个增加到 2020 年的 559 个，占 2020 年所有微软漏洞的 44% ，所占比例最大。报告称， 56% 的微软关键漏洞可以通过删除管理员权限来缓解。 “强制执行最小特权是解决这个问题的最快、最有效的措施。 ”
微软 MVP 和道德黑客 Sami Laiho 也表示， “取消管理员权限提供了很好的主动保护。我们需要保护执行恶意有效载荷的组件，特别是在浏览网页或阅读电子邮件的重要应用程序中。本报告中的数字证明，移除管理员权限将为你的 Outlook、Office、IE 和 Edge 提供保护。 ”