Институт SANS (http://www.sans.org/) опубликовал ежегодный отчет о наиболее опасных уязвимостях в программном обеспечении за 2007 год. Напомню, 7 лет назад SANS и Национальный центр защиты инфраструктуры (NIPC) опубликовали документ, суммирующий 10 наиболее опасных уязвимостей за год. С тех пор традиция публиковать такие отчеты прижилась, а top10 подрос до top20. Рассмотрим основные тенденции 2007 года:
- Заметно уменьшилась подверженность операционных систем сетевым червям. Из курьезов можно отметить случай, когда сетевой червь использовал для размножения ошибку переполнения буфера в Symantec Anti-Virus.</li>
- В этом году мы стали свидетелями значительного роста числа ошибок в клиентском ПО: браузерах, офисных пакетах, медиаплеерах и т.п. Все это привело к вовлечению в ботнеты еще большего числа компьютеров.</li>
- Корпоративный пользователь, посещающий вредоносные сайты, представляет главную угрозу безопасности предприятия.</li>
- Уязвимости в web-приложениях (как в open source, так и в коммерческих) составляют почти половину всех обнаруженных уязвимостей.</li>
- Пароли по умолчанию во многих операционных системах и сервисах продолжают оставаться очень слабыми, что позволяет успешно проводить атаки по словарю.</li>
- Злоумышленники стали более изобретательными в получении конфиденциальных данных, поэтому требуются новые методы контроля информации, покидающей пределы предприятия.</li>
Итак, самые глюкастые программы 2007 года.
- Internet Explorer. Большинство уязвимостей связано с технологией ActiveX.</li>
- Mozilla Firefox. В этом году опубликовано большое число сообщений об уязвимостях, позволяющих подменять URL, портить память и выполнять произвольный код. Хотя ошибки оперативно исправляются, много людей продолжает использовать старые версии ПО.</li>
- Adobe Acrobat Reader. Широкой спектр уязвимостей от DoS до выполнения произвольного кода. Кроме того, plugin от Adobe для просмотра PDF в браузере EI или Firefox тоже содержал уязвимость.</li>
- Microsoft Office всех версий. Лидер по количеству ошибок среди офисных пакетов.</li>
- Microsoft Outlook Express, Outlook, Vista Windows Mail. Позволяют выполнить произвольный код с помошью специально подготовленного письма.</li>
- Mozilla Thunderbird. Лидер по числу уязвимостей в почтовом ПО.</li>
- Eudora. 3 критических ошибки с 2006 года и одна 2007 года все еще позволяют выполнить произвольный код.</li>
- RealPlayer. 3 уязвимости от DoS до выполнения произвольного кода.</li>
- Apple iTunes. 1 ошибка. Выполнение произвольного кода.</li>
- Adobe Flash Player. 2 ошибки.</li>
- Apple Quicktime. Лидер по числу уязвимостей среди медиапроигрывателей. 19 ошибок от DoS до выполнения произвольного кода.</li>
- Windows Media Player. 4 ошибки.</li>
- Windows XP Home and Professional, Windows 2003 и Windows Vista содержат наибольшее количество уязвимостей в серверных службах. 11 критических ошибок.</li>
- UNIX-ориентированные серверные службы (Samba, ProFTPD и др). 12 критически уязвимостей.</li>
- Computer Associates (CA) BrightStor ARCServe. Масса опасных уязвимостей. Победил в номинации самого уязвимого ПО для резервного копирования.</li>
- Symantec Veritas NetBackup.</li>
- EMC Legato Networker.</li>
- Почти все (кроме NOD32 и DrWeb) антивирусные программы содержали уязвимости средней и высокой опасности. От Avast!, ClamAV, BitDefender до Kaspersky и Symantec.</li>
- СУБД Oracle содержала 18 критических ошибок, позволяющих проводить DoS-атаки и выполнять произвольные SQL-запросы.</li>
URL: http://www.sans.org/top20
Новость: http://www.opennet.dev/opennews/art.shtml?num=13749