安全機構(gòu)SANS institute發(fā)布了其最新的20種最危險缺陷排行榜，并警告稱攻擊主要集中在包括備份和媒體播放軟件在內(nèi)的應用軟件上，黑客在網(wǎng)站上嵌入內(nèi)容、誘惑用戶訪問網(wǎng)站的能力也在日漸提高。

　　最新危急缺陷排行榜涉及多家廠商，其中包括微軟、冠群、Veritas、RealNetworks、蘋果、Mozilla。SANS institute的研究人員表示，黑客越來越多地通過應用軟件而非操作系統(tǒng)攻擊用戶和它們的數(shù)據(jù)。

　　SANS institute的主任帕勒爾在一份聲明中說，我們發(fā)布的這一排行榜是對個人用戶和IT部門發(fā)出的一個危險信號。有太多的人不知道這些缺陷，錯誤地認為他們的計算機得到了很好的保護。

　　最新的SANS institute缺陷排行榜表明，今年第二季度發(fā)現(xiàn)或報告的新缺陷數(shù)量為422個，分別較第一季度和上年同期增長了10.8%和20%。存在缺陷包括操作系統(tǒng)、瀏覽器、備份和安全軟件中的漏洞，RealPlayer媒體播放軟件，以及蘋果iTunes的MPEG4文件處理過程也存在缺陷。

　　SANS institute警告稱，沒有修正這20個最嚴重缺陷的個人和組織的計算機受到遠程、未經(jīng)授權(quán)的黑客控制的危險性十分高。

　　SANS institute發(fā)布的最新危急缺陷排行榜還彰顯出流行的數(shù)據(jù)備份產(chǎn)品中“令人不安的”弱點，盡管備份軟件是為了預防災難性的事件發(fā)生，但卻為黑客攻擊打開了方便之門。SANS institute在一份聲明中說，不幸的是，這些產(chǎn)品成為了最容易受到黑客攻擊的目標。由于可以訪問大量的數(shù)據(jù)，備份軟件中的缺陷將帶來真正的危險。

　　這20個最嚴重的缺陷出現(xiàn)在這些軟件中:冠群的BrightStor ARCServe Backup、Veritas的備份軟件、Oracle Cumulative Update 2005、、蘋果的Cumulative Security Updates 2005-005和006、Mozilla和Firefox瀏覽器、IE、Exchange Server、Message Queuing Service、Windows Shell Remote Code Execution等。

　　Verisign/iDefense情報部門的高級工程師敦漢姆表示，攻擊目標由操作系統(tǒng)轉(zhuǎn)向應用軟件是黑客的攻擊技術和方法的自然演變。盡管操作系統(tǒng)本身的安全性得到了很大提高，用戶在保護操作系統(tǒng)的安全性方面也已經(jīng)做得很好，但應用軟件的情況卻不是這樣，即使是被廣泛使用的應用軟件。他說，有許多得到廣泛使用的應用軟件都存在漏洞，極易受到攻擊，這意味著黑客有大量的機會。