1360个！2024年微软产品漏洞数量创纪录

IT之家 4 月 16 日消息，网络安全公司 BeyondTrust 昨日（4 月 15 日）发布报告，称 2024 年微软产品漏洞数量共计 1360 个，相比较此前纪录（2022 年创造，1292 个），再增加 11%。

IT之家援引报告内容，权限提升（EoP）漏洞占据 40%，成为攻击者最青睐的攻击方式；安全功能绕过漏洞更是暴增 60%，从 2023 年的 56 个增至 2024 年的 90 个。

报告还指出，2024 年微软 Edge 浏览器漏洞总数达 292 个，增长 17%，其中包括 9 个关键漏洞，而 2022 年这一数字为零。

报告认为微软亟需加强软件设计阶段的安全编码和威胁建模（Threat Modeling），从而减少漏洞产生。

尽管挑战严峻，微软生态系统的关键漏洞在 2024 年持续下降，显示出微软安全举措和现代操作系统安全架构的改进成效。微软 Azure 和 Dynamics 365 的漏洞数量趋于稳定，漏洞增长速度也有所放缓。

BeyondTrust 的首席技术官 James Maude 表示：“今年的数据清楚提醒我们，威胁形势并未减缓，反而在快速演变。权限提升漏洞的持续主导地位表明，攻击者高度重视权限价值，他们会继续瞄准有权限的身份以横向移动并访问关键系统。”

他强调，单纯依赖补丁（Patches）不足以解决问题，补丁可能失效或带来稳定性风险。组织必须聚焦权限路径安全，构建多层防御，减少每个身份和访问点的攻击面，以应对攻击者不断创新的绕过防御手段。