軟體漏洞管理公司Qualys收集的資料顯示，Firefox是今年被通報最多漏洞的應用軟體，而Adobe軟體的漏洞也比去年增加三倍以上。

　　Qualys統計的Firefox漏洞高達102個，比去年增加90%。這些資料是根據美國國家漏洞資料庫（NationalVulnerabilityDatabase）的紀錄。

　　然而，Firefox的漏洞多不代表這個網路流覽器的程式錯誤最多，只是它被通報的漏洞最多。Qualys首席技術官WolfgangKandek表示，由於Firefox是開源軟體，所有漏洞皆公開揭露，不像專有軟體，如Adobe和微軟，通常只公開外部研究員抓到的漏洞，內部發現的問題則隱匿不報。

　　Adobe今年取代微軟，高居漏洞榜的第二位。Adobe軟體被通報的漏洞，從去年的14個竄升到今年的45個，而微軟則從44個降至41個。在微軟眾多的產品中，InternetExplorer、WindowsMediaPlayer和Office就囊括當中的30個。

　　Kandek指出，這些資料顯示攻擊者已將焦點從作業系統轉到應用軟體。他說：作業系統變得更穩定且更難攻擊，因此攻擊者便轉移到應用軟體。Adobe現在是一大目標，大約比微軟Office高出10倍。然而，其他廣泛被鎖定的目標，如IE和Firefox，仍然非常不安全。

　　F-Secure今年稍早公佈的調查結果，也證明Adobe軟體現在是比微軟軟體更熱門的目標。單在2009年第一季，F-Secure就發現663個目標性攻擊，當中最普遍的格式為PDF，比率將近50%。其次是微軟Word，約占40%。而後是Excel的7%和PowerPoint的4.5%。

　　2008年的資料是1，968個目標性攻擊，其中Word將近35%，排名第二的Reader占28%以上，Excel攻擊約20%，PowerPoint約17%。

　　由此可見，Adobe需要效法微軟在2002年的作法。當時微軟推出其TrustworthyComputing（可信計算）方案，將產品安全防護提升為全公司的首要任務。F-Secure甚至建議用戶停止使用Reader，改用其他PDF閱讀器。

　　Adobe已採取若干行動。Adobe在5月份宣佈，今後將固定每季發佈安全更新。微軟目前采每月定期更新。

　　另一項本周公佈的研究結果，鎖定使用者風險最高的應用軟體。Bit9表示，在Windows系統執行、漏洞最多且沒有自動更新的軟體，以Firefox居首，接著是AdobeReader和蘋果QuickTime。

　　Bit9根據漏洞資料庫所整理的高風險軟體名單，還包括Java、FlashPlayer、Safari、Shockwave、Acrobat、Opera、RealPlayer和Trillian。去年上榜的軟體包括Skype、YahooIM和AOLIM，但今年這三項軟體已不在榜上。

　　微軟和Google的軟體都沒上榜，因為他們都可自動安裝補丁程式。微軟是通過MicrosoftSystemsManagementServer或WindowsServerUpdateServices自動更新，而GoogleChrome會在使用者連上網路時自動更新。

　　這份榜單沒有計入公司發佈補丁方案所花的時間，尤其是在攻擊程式已經散佈的情況。Bit9表示，微軟IE值得一座“榮譽獎”，因為今年7月份一個ActiveX相關的零日漏洞，竟拖了整整三周才提供補丁。

　　微軟不是唯一的慢郎中。今年3月，Adobe針對Reader和Acrobat發佈的零日補丁方案，距離該漏洞被發現已經兩周，而相關的攻擊更已散佈近兩個月。

　　最近一個Reader和Acrobat的零日漏洞，Adobe用戶必須再等一個月左右，才能得到解決。Adobe宣佈，將在下一次季度安全更新日，也就是1月12日，修補這項漏洞。