微软2024年产品漏洞报告：总数达1360个，Edge浏览器成重灾区

4月16日，网络安全公司BeyondTrust发布了一份关于微软产品安全漏洞的年度报告。报告显示，2024年微软产品共发现1360个漏洞，较此前的最高纪录（2022年的1292个）增长了11%。

根据报告内容，权限提升（EoP）漏洞占总漏洞数量的40%，成为攻击者最常利用的安全问题。与此同时，安全功能绕过漏洞的数量显著增加，从2023年的56个攀升至2024年的90个，增幅达到60%。

此外，报告还特别指出，2024年微软Edge浏览器的漏洞总数达到292个，相比上一年增长了17%。其中包含9个关键级别的漏洞，而这一数字在2022年为零。

报告建议，微软应进一步加强软件开发阶段的安全编码和威胁建模能力，以减少潜在漏洞的产生。尽管整体形势严峻，但2024年微软生态系统中的关键漏洞数量持续下降，这反映出微软在安全措施和现代操作系统架构方面的改进取得了一定成效。同时，Azure和Dynamics 365等核心产品的漏洞数量趋于稳定，其增长速度也有所放缓。

BeyondTrust的首席技术官James Maude表示，2024年的数据再次表明，网络安全威胁并未减弱，反而在不断演变。权限提升漏洞的主导地位凸显了攻击者对高权限账户的重视程度，他们倾向于利用此类漏洞进行横向渗透并获取关键系统访问权。

James Maude还强调，单纯依赖补丁修复无法彻底解决问题，因为补丁可能失效或带来稳定性风险。组织需要更加关注权限路径的安全性，通过构建多层次防御体系，降低每个身份和访问点的潜在风险，以有效应对攻击者日益复杂的防御绕过手段。