Почти четверть (27,65%) опубликованных уведомлений сообщали о возможности произвести XSS-нападение. Уязвимости межсайтового скриптинга, как правило, представляют низкий уровень опасности. Они позволяют выполнить произвольный код сценария и HTML-код в браузере жертвы в контексте безопасности уязвимого сайта. В результате такой атаки злоумышленник может внедрить произвольные элементы на страницу и похитить потенциально важные данные, такие как файлы куки, которые затем могут использоваться для получения доступа к учетным данным жертвы. Также XSS-уязвимости могут применяться для проведения DDoS-атак из браузера пользователя на сторонние ресурсы. Примерно пятая часть уведомлений (21,66%) сообщает о потенциальной возможности выполнить произвольный код на атакуемой системе (компрометация). Еще 13,13% информирует о «зеленом свете» для злоумышленника, желающего получить доступ к важным данным. Веб-приложения в феврале захватили первенство по количеству уязвимостей среди всех систем и приложений — у них 35,38% (242), затем следует клиентское ПО — 25,15% (172), серверное ПО — 28,51% (195) и компоненты операционных систем — 10,96% (75). Клиентские приложения — браузеры на вершине хит-парада Максимальное число уязвимостей (63) среди клиентских приложений было найдено в браузерах. На втором месте — средства разработки (24), на третьем — мультимедийные приложения (21). Четвертое место занимают почтовые приложения (14), а пятое — ActiveX-компоненты (12). Браузер Google Chrome 16.x лидировал по числу найденных уязвимостей (20), тогда как его основной конкурент, Firefox, показал средний результат: у девятого поколения обнаружили восемь уязвимостей, а у десятого — две. Меньше всего уязвимостей обнаружили у браузера Internet Explorer 6.x, часто выступающего мишенью для критических стрел,— всего одну*. Среди мультимедийных приложений наибольшее число уязвимостей нашли в Adobe Shockwave Player и RealPlayer. * На основании этих данных нельзя делать выводы об уровне безопасности того иного браузера, реальный уровень защищенности которого зависит от нескольких параметров: распространенности и новизны исследуемой версии, скорости выпуска исправлений, политики в отношении публикации компанией-разработчиком самостоятельно найденных уязвимостей и т.д. Серверный сегмент — опасность в приложениях для виртуализации Среди серверных приложений больше всего уязвимостей было обнаружено в программном обеспечении для виртуализации. На втором месте находятся аппаратные устройства, на третьем — серверы приложений. Важные исправления в популярных приложениях и системах К числу примечательных событий можно отнести выпуск компанией Immunity эксплоита к ранее неизвестной уязвимости в популярной СУБД MySQL (http://www.securitylab.ru/vulnerability/419799.php). Данная брешь позволяет удаленному пользователю выполнить произвольный код на целевой системе. Также следует отметить появление исправления безопасности к пакету программ Samba (http://www.securitylab.ru/vulnerability/420569.php), в котором была устранена уязвимость удаленного выполнения кода. Что касается операционных систем, то в феврале текущего года Apple выпустила исправление безопасности, устраняющее 50 уязвимостей в Apple Mac OS X. В свою очередь компания Oracle опубликовала патчи для Solaris 10, устраняющие ноябрьские уязвимости в Adobe Flash Player и уязвимость годичной давности в Pidgin, а также устранила 14 уязвимостей в Java (http://www.securitylab.ru/vulnerability/420115.php). Крупнейший разработчик ПО, компания Microsoft, за отчетный период выпустила 9 бюллетеней безопасности, устранив 21 уязвимость (http://www.securitylab.ru/news/420133.php). Лишь немного отстала компания Adobe — ее специалисты представили 3 уведомления безопасности, закрыв в общей сложности 17 уязвимостей в трех приложениях:
Кроме того, в феврале 2012 года стало известно сразу о двух уязвимостях нулевого дня (в Adobe Flash Player (http://www.securitylab.ru/vulnerability/420240.php) и модуле поисковой оптимизации vBSEO к vBulletin (http://www.securitylab.ru/vulnerability/419591.php)). Важно добавить, что в феврале было опубликовано три уведомления критической (то есть наивысшей) степени опасности, которые затрагивали продукты Horde! Наивысшая степень опасности была присвоена этим уведомлениям в связи с внедрением бэкдора неизвестными злоумышленниками в исходный код приложений Horde. Устранение уязвимостей По состоянию на 1 марта 2012 года производители устранили 511 уязвимостей, описанных в 197 уведомлениях. Для 18 уязвимостей (16 уведомлений) производителями было предложено временное решение. Не были устранены 155 уязвимостей, описанные в 115 бюллетенях, что составляет 35% от общего числа выпущенных уведомлений. Таким образом, 22,66% от числа всех уязвимостей не были устранены в течение месяца с момента выхода информации об уязвимости. Хотелось бы также добавить, что растущая популярность SCADA-систем среди специалистов по информационной безопасности уверенно опережает уровень защищённости этих продуктов: 7 из 10 уязвимостей в SCADA-системах не были устранены в отчётный период. Полная версия отчета - http://www.securitylab.ru/analytics/421492.php Positive Technologies — лидер европейского рынка систем анализа защищенности и соответствия стандартам. В основе продуктов и услуг компании — опыт крупнейшего в Европе исследовательского центра Positive Research, обладающего уникальной экспертизой в сфере практической информационной безопасности. Продукты Positive Technologies — MaxPatrol и XSpider — имеют репутацию лучших разработок в этой области. Positive Technologies — организатор международного форума по практической информационной безопасности Positive Hack Days и создатель ИБ-портала SecurityLab.ru. SecurityLab (www.securitylab.ru) — один из самых популярных российских ресурсов по информационной безопасности. На портале публикуются новости и информация о событиях в области защиты информации со всего мира, бюллетени безопасности производителей программного обеспечения, а также оригинальные и переводные аналитические статьи. Важнейшая составляющая портала — оперативная информация на русском языке обо всех опубликованных уязвимостях и рекомендации по их устранению. Форум портала ежедневно посещают тысячи специалистов по информационной безопасности России, СНГ, зарубежных стран. Securitylab обеспечивает информационную поддержку и является медиа-партнером основных отраслевых мероприятий. Источник http://www.ptsecurity.ru/ Читайте ещеТолько авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |