一、漏洞信息
（一）漏洞数量呈下降趋势
        据中国信息安全测评中心国家漏洞库（CNNVD）统计，2009年6、7月份共发现安全漏洞901个，与2008年6、7月份相比漏洞总数减少52个，下降5.5%。从2006年起，同期漏洞数量呈下降趋势,图1为近五年来，6、7月份漏洞发布趋势图。
图1  近五年6、7月份漏洞数量发布趋势
（二）漏洞严重级别分布
        CNNVD根据漏洞的影响范围、利用方式、攻击后果等属性，对漏洞安全危害进行量化评分，并将漏洞分为四个严重等级，即危急、高危、中危和低危级别，具体评定标准如表1所示：
表1  漏洞严重级别与CNNVD评分对照表

        据统计，2009年6、7月份共发布危急漏洞54个，高危漏洞367个，中危漏洞429个，低危漏洞51个，所占漏洞总数比例如图2所示。

图2  漏洞严重级别比例分布
        近五年来，6、7月份漏洞严重级别比例分布较为均匀，危急漏洞和低危漏洞所占比例很小，一般占漏洞总数的5%-10%左右，趋势较平缓；高危漏洞与中危漏洞起伏较大，一般占漏洞总数的30%-60%左右。图3为近五年6、7月份漏洞严重级别比例趋势。

图3  漏洞严重级别比例趋势
（三）十大安全漏洞
        2009年6、7月份对我国使用的主流操作系统和常用应用程序影响比较严重的十大高危漏洞如表2所示。进入7月，微软0day漏洞频发，其中最严重的当属Microsoft DirectShow MPEG2 TuneRequest组件栈溢出漏洞，黑客利用此漏洞进行大规模的网络攻击。截至7月5日，已有上千家网站被挂马，微软在7月安全公告（MS09-032）中立即发布了该漏洞的相关补丁，建议用户及时安装。一周之后，互联网上又曝新的微软0day漏洞“Office内存破坏”漏洞，此漏洞存在于Office网页组件“OCW10.dll”中，黑客以特定序列使用该漏洞组件的方法调用浏览器窗口对象，触发内存破坏从而导致执行任意代码。近期，木马产业链同时利用该Office漏洞和Windows MPEG-2视频漏洞大肆传播木马，截止到7月31日，微软还未发布“Office内存破坏”漏洞的相关补丁。此外，由于7月29日Black Hat（黑帽）大会上宣称要公布Visual Studio活动模板库(ATL) VariantClear()远程代码执行漏洞的攻击代码，迫使微软在7月28日发布了一个紧急安全通告，并提供此漏洞的相关补丁。
（四）SQL注入漏洞比例最大
        2009年6、7月份漏洞发布数量最多的是SQL注入漏洞，共147条，占漏洞发布总数的16%，漏洞类型分布如图4所示。
图4  漏洞类型分布
        近半年来SQL注入漏洞所占比例最大，其中2月份SQL注入漏洞数量最多，达到了201个，之后漏洞数量一直呈下降趋势（如图5所示）。

图5  2009年上半年SQL注入漏洞数量发布情况
二、补丁信息
（一）补丁修补率趋势
        据中国信息安全测评中心国家补丁信息库CNPD统计，2009年6、7月份共修补382个漏洞，修补率为42%（如图6所示），其中包含36个已被修补的危急漏洞,危急漏洞修补率为66%（如图7所示）。

图6   6、7月份漏洞修补率

        近年来厂商对危急漏洞的关注度极高，忽略了对中低危漏洞的修补,从而导致危急漏洞的修补率要远高于其他漏洞修补率。但事实证明由于厂商未发布中低危漏洞的相关补丁，导致许多中等级别的漏洞会被攻击者利用，一旦攻击者成功利用此漏洞将给用户造成较严重危害。因此建议厂商加强对中低危漏洞的修补工作。
（二）十大安全漏洞补丁发布情况
        2009年6、7月份对影响我国使用的主流操作系统和常用软件的十大漏洞进行修补的补丁共9个，修补率为90%，其中微软未发布Microsoft Office Spreadsheet ActiveX控件内存破坏漏洞的相关补丁，请用户随时关注厂商主页以获取更新信息。一般补丁的修补模式为两种，一种为安装相应的补丁程序修补此漏洞，另一种为通过软件版本更新来修补此漏洞。详细信息如表3所示。