14.03.2012

Отчет по уязвимостям за февраль 2012

В феврале 2012 года  портал по информационной безопасности SecurityLab.ru опубликовал 328  уведомлений безопасности, в которых было описано 684 уязвимости. В этом отчете  мы расскажем о самых заметных из них и приведем несколько статистических  выкладок.

К числу примечательных событий можно отнести выпуск компанией Immunity эксплоита к ранее неизвестной уязвимости в популярной СУБД MySQL. Данная брешь позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Также следует отметить появление исправления безопасности к пакету программ Samba, в котором была устранена уязвимость удаленного выполнения кода.

Что касается операционных систем, то в феврале текущего года Apple выпустила исправление безопасности, устраняющее 50 уязвимостей в Apple Mac OS X. В свою очередь компания Oracle опубликовала патчи для Solaris 10, устраняющие ноябрьские уязвимости в Adobe Flash Player и уязвимость годичной давности в Pidgin, а также устранила 14 уязвимостей в Java.

Крупнейший разработчик ПО, компания Microsoft, за отчетный период выпустила 9 бюллетеней безопасности, устранив 21 уязвимость.

Лишь немного отстала компания Adobe — ее специалисты представили 3 уведомления безопасности, закрыв в общей сложности 17 уязвимостей в трех приложениях:

Кроме того, в феврале 2012 года стало известно сразу о двух уязвимостях нулевого дня — в Adobe Flash Player и модуле поисковой оптимизации vBSEO к vBulletin, а также о компрометации исходного кода продуктов Horde.

Распределение уязвимостей по векторам эксплуатации

В отчетном месяце было обнаружено 574 (84%) уязвимости, которые можно было эксплуатировать удаленно, 42 (6%) уязвимости — по локальной сети и 68 (10%) уязвимостей — локально. Таким образом, диаграмма распределения уязвимостей по векторам атак выглядит следующим образом:

Рис. 1. Диаграмма распределения уязвимостей по векторам эксплуатации

Наличие исправлений

По состоянию на 1 марта 2012 года производители устранили 511 уязвимостей, описанных в 197 уведомлениях. Для 18 уязвимостей (16 уведомлений) производителями было предложено временное решение. Не были устранены 155 уязвимостей, описанных в 115 бюллетенях, что составляет 35% от общего числа выпущенных уведомлений.

Рис. 2. Сводная статистика по наличию исправлений безопасности

Таким образом, 22,66% от числа всех уязвимостей не были устранены в течение месяца с момента выхода информации об уязвимости.

Распределение уязвимостей по рейтингу опасности

В феврале SecurityLab.ru выпустил 3 уведомления безопасности, затрагивающие продукты Horde с критическим рейтингом опасности. Критический рейтинг был присвоен этим уведомлениям в связи с внедрением бэкдора в их исходный код. Таким образом, в феврале было описано 3 уязвимости критической степени опасности, 156 уязвимостей — высокой, 177 уязвимостей — средней и 348 уязвимостей низкой степени опасности.

Диаграмма распределения уязвимостей по степени опасности выглядит следующим образом:

Рис. 3. Диаграмма распределения уязвимостей по рейтингу опасности

Для определения уровня опасности уязвимостей SecurityLab.ru использует CVSSv2 рейтинг со следующими критериями:

Уязвимость критической степени опасности — CVSSv2 рейтинг >= 8.7.

Примечание: К критическим уязвимостям относятся уязвимости нулевого дня (0-day), которые позволяют удаленно выполнить произвольный код на целевой системе. Под уязвимостями нулевого дня подразумеваются бреши, которые использовались злоумышленниками в реальных атаках до выхода какой-либо информации об уязвимости. Также критический рейтинг может быть присвоен уязвимости вследствие определенных обстоятельств, которые могут повлиять на безопасность использования приложения (например, внедрение бэкдора в исходный код приложения).

Уязвимость высокой степени опасности — CVSSv2 рейтинг >=7.4
Уязвимость средней степени опасности — CVSSv2 рейтинг >= 4.7
Уязвимость низкой степени опасности — CVSSv2 рейтинг < 4.7

Распределение уязвимостей по типам воздействия

Ниже приведена гистограмма по процентному соотношению типов воздействий в описанных уведомлениях безопасности.

Рис. 4. Распределение уведомлений по типам воздействия

Почти треть (27,65%) описанных уведомлений позволяли удаленному пользователю произвести XSS нападение, 21,66% — выполнить произвольный код на системе и 13,13% — получить доступ к важным данным.

Распределение уязвимостей по типам ПО

Наибольшее число уязвимостей было обнаружено в веб-приложениях — 35,38% (242), затем следует клиентское ПО — 25.15% (172), серверное ПО — 28.51% (195) и компоненты операционных систем — 10,96% (75).

Рис. 5. Диаграмма распределения уязвимостей по типам ПО

Уязвимости в клиентских приложениях

В феврале 2012 года больше всего уязвимостей (63) было обнаружено в браузерах. На втором месте — средства разработки (24), на третьем — мультимедийные приложения (21). Четвертое место занимают почтовые приложения (14), а пятое — ActiveX-компоненты (12).

Наиболее оперативно выпускались исправления для браузеров и почтовых клиентов (100% результат). Аутсайдерами здесь являются ActiveX-компоненты и мультимедийные приложения — 4 и 3 уязвимости соответственно за отчетный период остаются незакрытыми.

Тип ПО Кол-во уязвимостей Наличие исправления Уровень опасности
Да Нет ВР Высокий Средний Низкий
ActiveX-компоненты 12 8 4 0 10 0 2
FTP клиенты 1 1 0 0 0 1 0
Instant Messenger и IRC клиенты 5 3 2 0 2 1 2
IRC клиенты 1 0 1 0 1 0 0
Антивирусы 1 0 1 0 0 0 1
Аппаратные устройства 3 1 2 0 0 0 3
Браузеры 63 62 0 1 36 12 15
ПО для виртуализации 1 1 0 0 1 0 0
Мультимедийные приложения 21 18 3 0 18 2 1
Офисные приложения 9 8 1 0 9 0 0
Почтовые клиенты 14 14 0 0 7 1 6
Средства разработки 24 21 2 1 7 12 5
Другие приложения 29 22 6 1 11 10 8

Табл. 1. Уязвимости в клиентском ПО

Сравнительная таблица уязвимостей в самых популярных браузерах выглядит следующим образом:

Браузер/опасность Высокий Средний Низкий

Chrome 16.x

12 4 4

Chrome 17.x

7 5 0

Firefox 3.6.x

4 0 1

Firefox 9.x

4 1 3

Firefox 10.x

2 0 0

Internet Explorer 6.x

0 0 1

Internet Explorer 7.x

2 0 2

Internet Explorer 8.x

2 0 2

Internet Explorer 9.x

2 0 2

Табл. 2. Распределение уязвимостей по версиям браузеров.

Таким образом, больше всего уязвимостей было обнаружено в Google Chrome. Тем не менее, на основании этих данных нельзя делать выводы об уровне безопасности того или иного браузера, влиять на который могут сразу несколько параметров: скорость выпуска исправлений, политика в отношении публикации самостоятельно найденных уязвимостей, популярность браузера, динамика выхода новых версий и т.д.

Среди мультимедийных приложений по количеству уязвимостей лидировали Adobe Shockwave Player и RealPlayer.

Уязвимости в серверных приложениях

Тип ПО Кол-во Наличие исправления Уровень опасности
Да Нет ВР Высокий Средний Низкий
DNS серверы 2 0 2 0 0 2 0
SCADA-системы 10 3 7 0 1 4 5
Web-серверы 1 1 0 0 0 0 1
Антивирусы 2 2 0 0 0 0 2
Аппаратные устройства 33 22 11 0 3 14 16
Базы данных 6 5 1 0 0 1 5
ПО для виртуализации 58 52 1 5 1 19 38
Другие серверы сетевой инфраструктуры (WINS, tftp и т.д.) 1 1 0 0 1 0 0
Межсетевые экраны 2 2 0 0 0 1 1
Почтовые серверы 2 2 0 0 2 0 0
Серверы приложений 26 24 0 2 6 9 11
Системы контроля и мониторинга (спам фильтры, снифферы и т.п.) 2 2 0 0 0 0 2
Системы удаленного управления 1 1 0 0 0 1 0
Службы каталогов 3 2 0 1 0 1 2
Другие серверные приложения 75 59 13 3 9 26 40

Табл. 3. Уязвимости в серверных приложениях

Среди серверных приложений больше всего уязвимостей было обнаружено в ПО для виртуализации. На втором месте по числу найденных уязвимостей находятся аппаратные устройства, на третьем — серверы приложений.

Стоит отметить, что SCADA-системы приобретают все большую популярность среди специалистов по информационной безопасности, однако разработчики данного ПО не уделяют должного внимания защищённости этих продуктов: 7 из 10 уязвимостей в SCADA-системах не были устранены по состоянию на 1 марта 2012 года.

 

или введите имя

CAPTCHA