The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Остаются неисправленными 53% обнаруженных в 2008 году уязвимостей

05.02.2009 12:31

Исследовательское подразделение компании IBM опубликовало отчет с анализом рисков и угроз, связанных с проблемами безопасности. В отчете сделано заключение, что 53% всех обнаруженных в 2008 году уязвимости до сих пор остаются неисправленными. Год назад этот показатель составлял 44%.

Если рассмотреть 10 ведущих производителей ПО, то у них неисправленными осталось 19% известных уязвимостей, например, для Mac OS X число неисправленных проблем - 14.3%, для Linux ядра - 10.9%, Solaris - 7.3%, Windows - 5.5%.

Наибольшее число обнаруженных уязвимостей найдено в продуктах Microsoft, за ним, с небольшим отставанием следует Apple. В прошлом году около 55% было связано с web-приложениями, такие проекты, как Joomla, Drupal и Typo3 оказались в списке лидеров по числу проблем безопасности. Из числа 55% ошибок в web-приложениях, 74% до сих пор остаются неисправленными (разработчики часто игнорируют XSS и CSRF проблемы).

Из наиболее часто используемых злоумышленниками уязвимостей (как правило они задействованы для распространения троянского ПО) называются ошибки в Microsoft MDAC RDS ActiveX, RealPlayer IERPCtl ActiveX, MS WebViewFolderIcon ActiveX, Apple QuickTime и в Adobe Flash плагине. <

  1. Главная ссылка к новости (http://www.heise-online.co.uk/...)
  2. OpenNews: 25 самых опасных ошибок при создании программ
  3. OpenNews: Оценка рисков для исследователей в области компьютерной безопасности
  4. OpenNews: Критически важная инфраструктура не готова противостоять сетевым атакам
  5. OpenNews: Анализ рисков, связанных с проблемами безопасности в Red Hat Enterprise Linux
  6. OpenNews: Отчет с анализом проблем безопасности за 2007 год.
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/20125-security
Ключевые слова: security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (13) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Ivan (??), 12:42, 05/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Microsoft MDAC RDS ActiveX, RealPlayer IERPCtl ActiveX, MS WebViewFolderIcon ActiveX

    Вывод: ActiveX - зло.

     
     
  • 2.6, антигик (?), 19:06, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    +1 Зло...
     
  • 2.7, User294 (??), 19:15, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Вывод: ActiveX - зло.

    Это было понятно много лет назад.До вас только-что дошло?MS многие годы красочно имели с этими их активиксами... =)

     

  • 1.2, pavlinux (ok), 14:06, 05/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > 53% всех обнаруженных в 2008 году уязвимости до сих пор остаются неисправленными.
    > Год назад этот показатель составлял 44%.

    53-44 = 9%  
    x*9 +53 = 100%
    x*9 = 47%
    x = 47/9  = 5.2(2) года

    Вывод:
    В середине марта 2014 года не будет исправляться ни одной ошибки :)  
    Все уедут в Сочи на лыжах кататься.

     
     
  • 2.3, pavlinux (ok), 14:45, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя можно сделать и другой вывод, - к марту 2014 года количество появляющихся ошибок превысит количество исправляемых.
    Что примерно одно и тоже

     
     
  • 3.4, Georges (ok), 15:59, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    что критично для очень популярных систем
     
     
  • 4.5, PereresusNeVlezaetBuggy (ok), 16:27, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Например, Linux
     
     
  • 5.9, ы 0 (?), 21:05, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Учитывая что на дефолт инсталле далеко не уедешь, вас это тоже каснётся.... да и в линуксе тебя никто не заставляет включать в ядро все экспериментальные модули которые только можно.

    Хотя вообще.... мож люди начнут понимать, что хотя поиск и исправление ошибок не ведёт к такому резкому подъёму конкурентноспособности продукта, не уделение должного внимания безопасности ведёт к большим проблемам в долгосрочной перспективе.....

    вон, в windows вместо использования пользовательского аккаунта (а потому что программы пишутся в рассчёте на юзеров-админов) сделали заплатку в виде UAC (бесполезной и надоедливой), и урезания доступа подписанным программам (что мешает, пожалуй, только АНТИ-вирусам) -- а всё почему? из-за неверных решений в прошлом и необходимости обратной совместимости...

     
     
  • 6.11, PereresusNeVlezaetBuggy (ok), 02:06, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Учитывая что на дефолт инсталле далеко не уедешь, вас это тоже каснётся....
    >да и в линуксе тебя никто не заставляет включать в ядро
    >все экспериментальные модули которые только можно.

    Угу, никто, кроме того товарища, который покупал когда-то железо в последнюю очередь исходя из соображений совместимости с чем-либо кроме WinXP. И ладно если это всего лишь 100МБит/с сетевуха, а если что-то весьма специализированное, типа телефонной платы?

    >Хотя вообще.... мож люди начнут понимать, что хотя поиск и исправление ошибок
    >не ведёт к такому резкому подъёму конкурентноспособности продукта, не уделение должного
    >внимания безопасности ведёт к большим проблемам в долгосрочной перспективе.....

    Некоторые уже давно понимают:). Но юзеры хотят хлеба и зрелищ, то есть скорости и фич. А с другой стороны находятся идеалисты-фанатики, вроде г-на Theo de Raadt. В итоге получаются компромиссы, которые и устраивают большинство. Обычно это называется правильным маркетингом. А когда такой маркетинг начинают проводить все, кому ни лень, случается экономический кризис, в котором никто конкретно не виноват:).

    >вон, в windows вместо использования пользовательского аккаунта (а потому что программы пишутся
    >в рассчёте на юзеров-админов) сделали заплатку в виде UAC (бесполезной и
    >надоедливой), и урезания доступа подписанным программам (что мешает, пожалуй, только АНТИ-вирусам)
    >-- а всё почему? из-за неверных решений в прошлом и необходимости
    >обратной совместимости...

    На самом деле трудно назвать неверными решения, которые позволили завоевать 90+% рынка декстопов. :) Ну а имея такую базу MS теперь и пытается потихоньку выруливать. В политике, кстати, то же самое: сначала расстреливаем интеллигенцию, получая при этом мощный рычаг для управления страной, а затем начинаем потихоньку восстанавливать страну:).

     
     
  • 7.12, ы 0 (?), 11:36, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, никто, кроме того товарища, который покупал когда-то железо в последнюю очередь
    исходя из соображений совместимости с чем-либо кроме WinXP. И ладно если
    это всего лишь 100МБит/с сетевуха, а если что-то весьма специализированное, типа
    телефонной платы?
    >
    >
    >А с другой стороны находятся идеалисты-фанатики, вроде г-на Theo de Raadt.

    Они-то как раз те немногие что уже поняли, и, более того, они в этом далеко не одни.

    >Обычно это называется правильным маркетингом. А когда такой маркетинг начинают проводить

    все, кому ни лень, случается экономический кризис, в котором никто конкретно не виноват:).

    Брр, кризис то тут причём? (см. http://en.wikipedia.org/wiki/Gd2.0 )
    Насчёт маркетинга, это да. Я бы даже сказал, правильным в долгосрочной перспективе.

    >На самом деле трудно назвать неверными решения, которые позволили завоевать 90+% рынка
    >декстопов. :) Ну а имея такую базу MS теперь и пытается
    >потихоньку выруливать.

    Ага, и хорошо это у них получается? Что-то положительных результатов не вижу в плане количества заражённых всякой гадостью windows-систем и т.п. Правда, если бы они не перевели бы десктопные системы на WinNT, M$у бы, наверное, пришла хана.

     
     
  • 8.13, PereresusNeVlezaetBuggy (ok), 12:45, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Это скорее мы с тобой близко к ним в своих соображениях находимся Шутка юмора... текст свёрнут, показать
     
  • 5.10, vitek (??), 01:57, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    а приятно, что линух - популярен. :-DDDDDDDDDDDDDD
     

  • 1.8, RapteR (ok), 20:39, 05/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Указание % тут совсем не корректно. Т.к 5% ошибок негрософта это целый океан по сравнению с капелькой в 10% линукса. А то выглядит так, как будто в линуксе в 2 раза хуже исправляются ошибки...
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру