`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Игорь Дериев

Недоработки или ремонтопригодность?

+33
голоса

Компания Secunia опубликовала промежуточный отчет о уязвимостях ПО, охватывающий самый «интересный» третий квартал 2014 г. Если коротко, то на Top20 приложений за этот период пришлось 1841 уязвимость, самым уязвимым оказался Google Chrome, а среди вендоров «отметилась» IBM.

C Chrome все сравнительно просто – дают свои плоды быстрые релизы и перманентная работа над ошибками. Хотя браузеру Google давненько уже не удавалось остаться неуязвимым на различных соревнованиях по взлому, хакеры по-прежнему считают его наиболее устойчивым.

С IBM картина более сложная, но уже тоже «стабильная». В прошлом году в ее ПО было обнаружено порядка 4 тыс. уязвимостей, почти 25% от общего числа, зафиксированных Secunia. Истоки проблемы кроются в широком использовании IBM стороннего ПО, такого как Java или OpenSSL. Соответственно, приходится исправлять как свои, так и чужие ошибки.

Точной информации по числу уязвимостей в 2014 г., естественно, пока нет, но в Secunia предполагает, что в годовом сравнении оно вырастет на 40%. Это очень много. Больше, чем в прошлом году (вот здесь есть соответствующая диаграмма), т.е. тренд ускоряется.

Конечно, само по себе число уязвимостей мало о чем говорит, главное, как быстро их закрывают. Однако, прирост этого года обусловлен (в терминах Secunia) так называемой «большой тройкой 2014 г.», т.е. Heartbleed/OpenSSL, Shellshock/Bashbug и POODLE. Соответственно, списки Top20 за август, сентябрь и октябрь буквально забиты всевозможным серверным ПО.

И здесь Secunia отмечает одно довольно тревожное явление. 2014 г. отметился тремя волнами уязвимостей, обнаруженных в OpenSSL, которые следовали друг за другом с двухмесячным интервалом. Heartbleed, как известно, вызвал широкий общественный резонанс, и в течение 40 дней более 100 вендоров поправили 600 продуктов. Ко второй волне интерес к данной теме не успел стихнуть, и вендоры также быстро поправили 600 продуктов, а вскоре и еще 200.

К третьей же волне (от 9 августа), все, включая журналистскую братию, видимо, устали от подобных переживаний. Соответственно, лишь 20 вендоров поправили 50 продуктов, хотя на сегодня (спустя более 100 дней) число уязвимых исчисляется 75 и не факт, что выявлены все.

Наличие заплаток, впрочем, само по себе тоже ничего не гарантирует. Их ведь нужно еще установить и далеко не всегда это делается (по множеству причин) автоматически. Вот, к примеру, вполне заслуживающее внимания сообщение о черве, атакующем уязвимость Shellshock в системах хранения QNAP. Показательно то, что одним из финальных действий червя является загрузка официальной заплатки, выпущенной QNAP еще 5 октября (с целью, видимо, защититься от других подобных посягательств). Т.е. очевидно: а) он появился уже позже; б) соответственно, тема с Shellshock далеко не закрыта.

+33
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT