Secunia: СМИ напрямую влияют на скорость исправления уязвимостей

Исправление уязвимостей стало более зависимым от внимания прессы и раздуваемой СМИ паники. Об этом сообщает компания Secunia в интервью изданию The Register.

Уязвимость в OpenSSL, более известная как Heartbleed, вынудила разработчиков ПО в течение 40 дней выпустить исправления безопасности для более чем 600 продуктов. Еще одна брешь, обнаруженная в июне 2014 года, привела к исправлению более 800 единиц ПО. Тем не менее, следующая уязвимость, найденная в августе, была исправлена лишь в 75 продуктах.

Как сообщил руководитель отдела исследований и безопасности Secunia Каспер Линдгаард (Kasper Lindgaard) в интервью The Register, августовская уязвимость и брешь Heartbleed были во многом похожи. Тем не менее, в течение месяца после обнаружения бреши в августе быи выпущены исправления лишь для 75 из более чем 200 продуктов, подверженных этой уязвимости. Линдгаард считает, что «неторопливость» разработчиков была вызвана тем, что СМИ не уделили последней бреши столько же внимания, чем в случае с Heartbleed.

Обнаруженная в апреле 2014 года уязвимость Heartbleed была довольно легка в эксплуатации, но с ее помощью злоумышленники могли лишь раскрыть некоторые данные. Более поздние бреши были гораздо более опасными, позволяя хакерам полностью скомпрометировать целевую систему.

Линдгаард сказал, что Heartbleed стала самой обсуждаемой в СМИ, и, как следствие, самой популярной уязвимостью в ПО. Тем не менее, отделам безопасности производителей ПО следует работать над исправлением всех брешей, а не только над теми, которые привлекли внимание журналистов.

Также отмечается, что в мире кибербезопасности появился своеобразный тренд – специалисты все чаще присваивают разным уязвимостям логотипы. Вскоре после Heartbleed была обнаружена уязвимость ShellShock, которую также снабдили собственным логотипом. Аналогично поступили в случае с брешами POODLE и Ghost.