可以使用的軟體為什麼還會有漏洞

『壹』 軟體為什麼有漏洞

問題一：什麼是計算機漏洞,為什麼會有漏洞呢? 漏洞是在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。具體舉例來說，比如在 Intel Pentium晶元中存在的邏輯錯誤，在Sendmail早期版本中的編程錯誤，在NFS協議中認證方式上的弱點，在Unix系統管理員設置匿名Ftp服務時配置不當的問題都可能被攻擊者使用，威脅到系統的安全。因而這些都可以認為是系統中存在的安全漏洞。
漏洞與具體系統環境之間的關系及其時間相關特性
漏洞會影響到很大范圍的軟硬體設備，包括作系統本身及其支撐軟體，網路客戶和伺服器軟體，網路路由器和安全防火牆等。換而言之，在這些不同的軟硬體設備中都可能存在不同的安全漏洞問題。在不同種類的軟、硬體設備，同種設備的不同版本之間，由不同設備構成的不同系統之間，以及同種系統在不同的設置條件下，都會存在各自不同的安全漏洞問題。
漏洞問題是與時間緊密相關的。一個系統從發布的那一天起，隨著用戶的深入使用，系統中存在的漏洞會被不斷暴露出來，這些早先被發現的漏洞也會不斷被系統槐絕供應商發布的補丁軟體修補，或在以後發布的新版系統中得以糾正。而在新版系統糾正了舊版本中具有漏洞的同時，也會引入一些新的漏洞和錯誤。因而隨著時間的推移，舊的漏洞會不斷消失，新的漏洞會不斷出現。漏洞問題也會長期存在。
因而脫離具體的時間和具體的系統環境來討論漏洞問題是毫無意義的。只能針對目標系統的作系統版本、其上運行的軟體版本以及服務運行設置等實際環境來具體談論其中可能存在的漏洞及其可行的解決辦法。
同時應該看到，對漏洞問題的研究必須要跟蹤當前最新的計算機系統及其安全問題的最新發展動態。這一點如同對計算機病毒發展問題的研究相似。如果在工作中不能保持對新技術的跟蹤，就沒有談論系統安全漏洞問題的發言權，既使是以前所作的工作也會逐漸失去價值。
二、漏洞問題與不同安全級別計算機系統之間的關系
目前計算機系統安全的分級標准一般都是依據「橘皮書」中的定義。橘皮書正式名稱是「受信任計算機系統評量基準」（Trusted puter System Evaluation Criteria)。橘皮書中對可信任系統的定義是這樣的：一個鉛敏姿由完整的硬體及軟體所組成的系統，在不違反訪問許可權的情況下，它能同時服務於不限定個數的用戶，並處理從一般機密到最高機密等不同范圍的信息。
橘皮書將一個計算機系統可接受的信任程度加以分級,凡符合某些安全條件、基準規則的系統即可歸類為某種安全等級。橘皮書將計算機系統的安全性能由高而低劃分為A、B、C、D四大等級。其中：
D級――最低保護（Minimal Protection)，凡沒有通過其他安全等級測試項目的系統即屬於該級，如Dos，Windows個人計算機系統。
C級――自主訪問控制（Discretionary Protection)，該等級的安全特點在於系統的客體（如文件、目錄）可由該系統主體（如系統管理員、用戶、應用程序）自主定義訪問權。例如：管理員可以決定系統中任意文件的許可權。當前Unix、Linux、Windows NT等作系統都為此安全等級。
B級――強制訪問控制（Mandatory Protection)，該等級的安全特點在於由系統強制對客體進行安全保護，在該級安全系統中，每個系統客體（如文件、目錄等資源）及主體（如系統管理員、用戶、應用程序）都有自己的安全標簽（Security Label），系統依據用戶的安全等級賦予其對各個對象的訪問拿知許可權。
A級――可驗證訪問控制（Verified Protect......>>

問題二：為什麼電腦每天都有漏洞？ 因為所有軟體設計出來都存在不同的缺陷和漏洞，之後微軟針對家庭和各行業用得到的軟體出台各類型的補丁，用來完善軟體和修復漏洞。但是本人推薦只升級用得到的補丁，你用不到的補丁一般不需要安裝，還有補丁安得越多電腦相對較慢，變慢程度取決於你電腦原始的速度。但即使安裝所有補丁，該中病毒也中病毒，只是概率不同。有不明白的Q我835666822（「這非典型的問題，發自我的費府之言！」請不要復制我的答案。）

問題三：為什麼程序總會有漏洞？ 因為科技的發展中程序慢慢會暴露出一些缺陷，有的是因為設計思路，有的是因為設計工具，還有的可能因為演算法。總之只有更好，沒有最好

問題四：更新了一下軟體漏洞，就這樣了，怎麼解決 這是更新死機了，沒有更好的方法，按開關機鍵關機。系統打補丁的功能需要自動連網，這個功能本身也不好用，經常出錯，沒有更好的方法。
建議將自動更新關閉，用軟體更新，自己的時間自己做主。下載超級兔子，讓她幫助你下載補丁。你選擇快速檢測後，按安裝按鈕，她會自動幫助你下載安裝，並且不需要重啟。到目前為止，使用超級兔子打補丁全部成功（對於系統不需要安裝全部補丁，因此超級兔子有快速檢測（推薦）、全面檢測、自定義，選擇快速檢測只安裝對系統有嚴重安全漏洞的補丁打，你使用的殺毒、殺木馬的軟體都有這個功能）。
關閉自動更新的方法：
控制面板-Windows Update-(左邊）更改設置-把重要更新下選項改為從不檢查更新即可（Win78，或在這里重新設置打補丁的時候）。
這個方法也可以，請開始/運行輸入gpedit.msc打開組策略，在左側選用戶配置/管理模板/Windows組件/Windows Update/在右側選「刪除使用所有Windows Update功能的訪問」雙擊它，在打開的對話框中選擇「已啟用」然後按應用確定，重啟電腦即可。

問題五：電腦中有系統漏洞和軟體漏洞，對電腦有什麼影響沒有？ 重要的危險漏洞是需要修復的，不修復會導致病毒入侵，一些小的漏洞就無所謂了
漏洞修復也可以使用騰訊電腦管家來修復
下載打開騰訊電腦管家，修復漏洞就可以對系統漏洞進行修復掃描了
非常便捷，而且騰訊電腦管家的漏洞全部來自微軟官網，可靠安全
騰訊電腦管家還可以刪除已修復的漏洞，即是說，如果你的電腦與最新的漏洞相沖突，只要在「已安裝」中刪除就不會有問題了。

問題六：win7系統裝在360殺毒軟體，為什麼會有那麼多漏洞？如何處理？ 朋友系統安裝殺毒軟體與，漏洞多是兩回事，系統漏洞是微軟的問題，不過微軟會發布修復的漏洞補丁，建議你使用360安全衛士修復一下漏洞就可以了，漏洞是誰的電腦也會有的。只要把那些高危漏洞修復了就可以了。

問題七：為什麼360殺毒軟體總是提醒有高危漏洞 它提醒的高危漏洞是系統的，當你看到這種提示之後，可以使用電腦管家來修復漏洞
它修復漏洞所使用的補丁是來自微軟的，並且經過專業人員篩選的補丁，過濾掉了微軟推送的不穩定的和用戶不需要的補丁，如正版驗證補丁，你可以放心的修復

問題八：APP的安全漏洞怎麼檢測，有什麼工具可以進行檢測？ 目前我經常用的漏洞檢測工具主要就是愛內測，因為愛內測會根據應用特性，對程序機密性會採取不同程度不同方式的檢測，檢測項目包括代碼是否混淆，DEX、so庫文件是否保護，程序簽名、許可權管理是否完整等；組件安全檢測主要針對Activity、Broadcast Receiver、Service、WebView、Intent等是否存在漏洞，並給出針對性建議；數據安全會全面檢測APP存在的數據泄漏漏洞和輸出層、協議層等所有涉及數據安全的漏洞，確保APP里那些可能導致帳號泄露的漏洞被全部檢測出。

問題九：迅雷軟體助手，提醒有漏洞怎麼辦？ 開啟windows更新 更新唄

問題十：windows自動更新與殺毒軟體更新漏洞有什麼區別 您好，windows的自動更新是讓您自己選擇漏洞進行修復（需要一定電腦知識）
然而，殺毒軟體的更新漏洞是自動幫您選擇您需要的漏洞進行修復（電腦小白也可以修復）
在這里我推薦您使用騰訊電腦管家進行一鍵修復漏洞，步驟：電腦管家-工具箱-修復漏洞
希望我的回答能幫助到您！如有疑問請進入電腦管家企業平台！謝謝

『貳』 為什麼網站和軟體這樣多的漏洞

其實所有的軟體和程序，都肯定會有漏洞，不可能存在100%安全無漏洞的軟體程序。
同時，windows系統漏洞多這個說法可以說並不正確。而是說，使用和針對windows的人太多，所以被發現的漏洞就很多。
打個比方吧，用500個人的團隊來做一個軟體，這500個人假如都是一樣的理論水平和知識儲備，然後做好後發布，分為兩個不同的版本為A版和B版，但實際事實上A版和B版是完全一樣的，沒有任何差別。A軟體發布給1000萬用戶來研究，B軟體只發布給100萬用戶來研究，這1100萬用戶並不重復。那麼A軟體肯定會被找出更多的漏洞和問題，但這並不能說明什麼，因為都是完全一樣的軟體，只不過一個人多一個人少罷了。

為什麼仍然有很多網站漏洞?據了解，大多數企業網站的漏洞包含OpenSSL、PHP和WordPress中的漏洞，這些漏洞主要是由於這些開源軟體中存在著大量自定義組合以及缺乏測試和漏洞修復。

本文中讓我們看看如何從一開始以及整個開發生命周期中修復這些漏洞。

很多網站的安全漏洞

「很多網站(和Web應用程序)漏洞的主要原因是這些技術完全定製化開發的性質，」美國國家安全局前情報收集人員、現Masergy Communications公司主管David J. Venable表示，這樣的結果會產生在很大程度上未經測試的網站和應用程序，它們沒有像大多數商業軟體(例如操作系統和伺服器軟體包)經過嚴格的徹底的測試。

事實上，網站和網路應用程序中的漏洞要比企業其他地方的漏洞更多。這些安全漏洞包括PHP站點、第三方和自產軟體中的漏洞，WordPress代碼和安裝以及OpenSSL、Single Sign-On及SQL和LDAP部署及技術中的漏洞。

使用第三方軟體的PHP網站存在固有的漏洞，因為第三方應用程序開發不受企業的掌控。Berkeley研究公司主管Joe Sremack表示：「你可以設計你的網站，以確保所有自製代碼是完全安全的，但如果你需要使用第三方軟體，那麼你就可能引入漏洞。」

WordPress是一個日益嚴重的問題，它有著無數的插件，需要不斷的更新，這給中小型企業帶來日益嚴重的威脅。Sremack表示：「企業想要WordPress的功能，但不幸的是，它也帶來風險。」

OpenSSL也面臨相同的問題。隨著人們不斷創新該技術，這些創新帶來新的漏洞，可讓攻擊者發現和利用。每年攻擊者都會不斷利用OpenSSL漏洞來作為大規模數據泄露的一部分，很多看似新的漏洞實際上是還未被發現的舊漏洞。

即使編程者開發出安全的網站，他們的開發主要是基於他們已知的漏洞，而不是尚未確認的漏洞，而總是會出現新的漏洞。

注入漏洞仍然很常見，攻擊者已經調整了他們的攻擊方法，以利用日益普及的單點登錄。Sremack解釋說：「單點登錄在酒店裡很常見，人們會使用單點登錄來檢查他們的賬戶和積分。新的LDAP注入技術會攻擊漏洞，並傳遞參數到代碼來控制其網路會話。」

另一個攻擊向量是本地和遠程文件。Sremack稱：「網站的代碼可以調用本地伺服器或遠程公共伺服器上的文件。通過使用注入技術，攻擊者可以讓網站顯示信息，包括密碼文件或者Web伺服器中的用戶名列表，並可以執行他們想要運行的代碼。」

修復網站安全漏洞

Venable稱：「企業必須從開發過程的最開始就堅持安全最佳做法，例如開放Web應用安全項目(OWASP)的最佳做法。」企業需要在生產前、代碼變更後進行所有測試，包括應用程序評估、滲透測試以及靜態分析，至少一年一次。為了實時發現和緩解攻擊，企業需要對網站和網路應用程序部署WAF和IDS，並部署全天候監控小組。

Sremack稱：「在開發過程中，與安全團隊合作來對受影響的代碼和功能執行定期測試。」如果企業在更新當前的網站，應該讓安全團隊測試和確保新增的功能不會帶來漏洞。開發團隊還應該進行掃描和測試來隔離漏洞和修復漏洞。

Sremack說道：「企業應該使用攻擊者用來入侵網路的相同工具，例如Grabber、W3AF和Zed Attack Proxy。」雖然說，任何有著安全知識或安全工具的人都可以利用這些應用程序，基於測試的結果來發現網站漏洞，但企業需要安排專門的工作人員來做這個工作。

「開發人員應該具體看看他們如何創建和維護網路會話，專門檢查會話通過網站傳輸的輸入，無論是通過網站還是輸入欄位，」Sremack稱，「然後監測任何第三方代碼中的漏洞，並查看來自供應商的漏洞利用聲明。」

總結

網站越大，其功能和可視性越大，它也會使用更多第三方軟體，同時，減少該網站中固有漏洞的過程也更加昂貴。

企業必須在一天內多次監控和更新網站，以更好地抵禦網路攻擊者。這個過程應該包括變更管理、測試和正確的部署，以及新的專門的安全團隊和指定的測試站點。

網站的功能越豐富，企業越應該確保網站的安全性。現在也有很多開源免費軟體工具可以幫助開發人員來了解新的漏洞和威脅。

建議安裝安全防護軟體，如安全狗等，防護網站安全。

『叄』 軟體有漏洞，手機有漏洞，那麼究竟什麼是漏洞，為什麼會有漏洞，難道就有 沒有漏洞的嗎

所謂漏洞就是程序編制的不完善。
比如一個密碼門要求輸入4位正確密碼才能開門，結果程序員沒把情況考慮全面，用戶輸入8位密碼，門不知道該怎麼辦，然後就開門了。這就是漏洞的一種。
電腦、手機系統都是有許可權的，什麼樣級別的用戶可以做什麼樣的時，如果別人利用漏洞獲取了高許可權，就可以遠程操作你的電腦、手機，查看你的各種隱私信息。
越復雜的軟體就越有可能有漏洞，這個幾乎無法避免。
就好像再健全的制度也總有人會去鑽空子一樣。