Отчет по уязвимостям за 19.03-25.03 2012 года

На прошлой неделе мы опубликовали одну критическую уязвимость в Webglimpse – программном обеспечении для осуществления поиска по сайту. Эта уязвимость активно эксплуатируется злоумышленниками для компрометации систем.

Также мы хотели бы отметить следующие уязвимости:

• Множественные уязвимости в продуктах VMware / 19.03.2012
• Множественные уязвимости в VMware ESX / 19.03.2012
• Компрометация системы в VLC Media Player / 19.03.2012
• Компрометация системы в VLC Media Player / 19.03.2012
• Множественные уязвимости в Quagga / 19.03.2012
• Отказ в обслуживании в Linux Kernel / 19.03.2012
• Раскрытие важных данных в nginx / 20.03.2012
• Переполнение буфера в libpng / 22.03.2012
• Переполнение буфера в Adobe Photoshop / 22.03.2012
• Множественные уязвимости в Google Chrome / 22.03.2012
• Повреждение памяти в библиотеке GnuTLS libtasn1 ASN1 / 23.03.2012

Распределение уязвимостей по типам ПО

26.6% (41) от общего числа уязвимостей составили уязвимости в Web приложениях, 20.8% (32) составили уязвимости в клиентском ПО, 51.9% (80) составили уязвимости в серверном ПО, и 0.6% (1) составили уязвимости в компонентах операционных систем. Таким образом, диаграмма распределения уязвимостей по типам ПО выглядит следующим образом:

По векторам атак

При публикации уведомлений безопасности мы используем следующие векторы атаки: локальный, локальная сеть и удаленный.

По типу воздействия

Как видно на графике, больше всего уведомлений описывали уязвимости, позволяющие обойти некоторые ограничения безопасности (19%), на втором месте – уязвимости отказа в обслуживании и бреши, позволяющие скомпрометировать систему (по 17,2%).

Распределение уязвимостей по выпуску исправлений

На прошлой неделе производители выпустили исправления безопасности для 50 уведомлений. Диаграмма, отображающая наличие исправлений к вышедшим уязвимостям, выглядит следующим образом:

Распределение уязвимостей по уровню опасности

Диаграмма распределения уведомлений по рейтингу опасности выглядит следующим образом: