微软安全响应中心(MSRC) 2012 工作进展报告现已发布

我们今天发布了第 4 份年度 微软安全响应中心 (MSRC) 工作进展报告。这份报告重点介绍了微软的各项信息共享举措的进展情况，这些举措促进了行业间的深入合作，增强了基于社区的防护，并且为客户提供了更好的保护。

这份新报告包括以下内容：

• 已更新的、涵盖去年全年数据的微软安全公告统计信息
• OOB(带外安全公告)内容的幕后揭密
• 包括微软主动防御计划 (MAPP)、微软攻击利用指数和微软漏洞研究计划 (MSVR) 在内的各项微软举措的年度进展
• 有关去年微软蓝帽子大奖(Microsoft BuleHat Prize)结果的更新
• 有关增强的缓解体验工具包 (EMET) 功效的研究结果

一些主要的调查结果包括：

• 在截至 2012 年 6 月的过去 12 个月内，微软总共发布了 90 份安全公告用于解决 203 个不同的漏洞。

图：已发布的安全公告和已解决的漏洞，2007 年上半年 - 2012 年上半年

• 在微软从 2011 年 7 月到 2012 年 6 月解决的漏洞中，50.0% 的漏洞会允许攻击者远程执行代码，这相对于此前 12 个月的 62.8% 的比例有所下降。

图：可能会对微软产品造成远程代码执行影响的漏洞的百分比，2011 年 7 月 – 2012 年 6 月

• 微软从 2011 年 7 月到 2012 年 6 月发布的 90 份安全公告导致了 190 个可攻击性指数评级。

图：微软可攻击性指数评级，2011 年 7 月 – 2012 年 6 月

• 检查可能的不同部署方案，从而说明可攻击性指数如何帮助组织省钱并让其更好地分配资源，如下表中所示。

图：不同方案下的安全公告部署事件，2011 年 6 月 – 2012 年 6 月

• 从 2011 年 7 月开始，微软漏洞研究计划 (MSVR) 已经发现并负责任地披露了 96 个不同的软件漏洞，这些漏洞总共影响到 39 家供应商。
• 在从 2011 年 7 月到 2012 年 6 月期间，对协调式漏洞披露 (CVD) 的使用提升到了一个新的高度。在披露给微软的漏洞中，91% 的漏洞是使用 CVD 报告的，这相对于此前 12 个月的 84% 的比例有所提升。

图：影响微软产品的漏洞披露，2006 年 7 月 – 2012 年 6 月

这份报告中还包含了大量新信息。我建议您从此处下载完整的报告。

Tim Rains

总监

可信赖计算部