360：2017年度安全报告--应用漏洞

应用程序作为计算机服务的直接提供者，其存在是不可或缺的。除了传统的 CS 应用之外还出现了各种的 web 应用，相应的还有提供 web 服务的各类 web 容器。应用是广泛的存在于我们的日常生活中的，如若其中出现了漏洞，将可能直接影响业务的正常运作。本文是 360CERT 对2017年应用漏洞的总结。统计出2017 年，漏洞最多的50 个产品，其中系统类20 个，应用类30 个。可以看到漏洞最多的是 Android，Linux Kernel，Iphone OS，分别 841，435，387 枚漏洞。筛选出应用类产品漏洞 top10，大多来自 Adobe，Microsoft，Apple ，Google 和开源社区的产品。排在首位的是 Image-Magick，大多数都是文件解析及编辑器方面的漏洞，多达 357 枚，大部分是本地DOS 和溢出，危害低且利用难度大。这也反映了整体现象：漏洞多，但是价值高的可利用漏洞太少。简单的说，评判漏洞有三个维度：应用的使用量，漏洞的利用难度，漏洞造成的危害。接下来，对2017 年有价值的应用漏洞进行详细分析。