升级软件版本:未知和已知漏洞的风险

Question

是否有任何证据或研究表明，与后续软件迭代相比，早期版本中的漏洞是否可能造成损害？

例如，对于每个软件版本，都有可能出现新的安全漏洞。更重要的是，这些漏洞的存在和可能性将是未知的。然而，如果继续使用以前的版本，即使您现在很容易受到可能存在的风险的影响，这也可能是一个记录在案的漏洞。当然，情况可能并不总是这样，但是如果它是版本1中的未知漏洞，那么它将是版本1+中的未知漏洞。如果在版本1+中减轻了该漏洞，那么我们将回到这个问题的重点：

1. 版本1:未知和已知的漏洞
2. 版本1+：未知和可能引入的不同漏洞

这不是一个重复的其他问题与类似的标题，因为我在寻找事实，而许多其他的帖子包括很多猜测。

Answer 1

虽然不受欢迎，但我将在这里做一个帧挑战答案。

你说：

然而，如果继续使用以前的版本，即使您现在很容易受到可能存在的风险的影响，这也可能是一个记录在案的漏洞。

您正在将其作为一件好事，如“它已被记录在案，以便我们可以应用列出的缓解措施”。

我认为这是一件坏事，就像“它被记录下来了，所以攻击者知道确切的位置”。即使您减轻了报告的外阴，在我的经验中，在修复报告的秃鹫的过程中，供应商通常会发现并修复一些相关的漏洞，通常是悄悄的。

另外，那些只费心测试最新版本的研究人员呢?仅仅因为CVE说“影响2.3.4版”并不一定能证明2.3.3甚至1.1.0是免疫的。

我知道我没有回答你的问题。也许你正在寻找研究，比较黑客利用已知的秃鹫，其中一个补丁是可用的与黑客利用0天。

谷歌学者对"零日流行率“和"零天对已知”的搜索都会返回大量的结果，这些结果似乎都在你想要的方向上。也许其中一个能回答你的问题？

在我看来，你是在寻找理由来避免升级。修补你的服务器！！

如果您想降低风险，我认为最好的解决方案是使用一个长期支持版本，该版本仍然在接受安全补丁，但没有接受新的实验特性。