Анализ уязвимостей за последние 25 лет

4 марта 2013 года

Компания Sourcefire, известная разработкой таких свободных проектов, как Snort и ClamAV, опубликовала ( PDF(недоступная ссылка)) результаты анализа тенденций в области выявления уязвимостей за последние 25 лет. В качестве источников для классификации уязвимостей использовалась база данных CVE (Common Vulnerabilities and Exposure), в которой накоплена информация о проблемах безопасности начиная с 1988 года, а также сведения об уязвимостях из базы NVD (National Vulnerability Database), поддерживаемой Национальным институтом стандартов и технологий США (NIST).

Пик выявления уязвимостей пришёлся на 2006 и 2007 годы, после чего до 2011 года наблюдался спад, но в 2012 году вновь обнаружилась тенденция роста:

При этом, если рассматривать только опасные уязвимости, то в 2012 году продолжает наблюдаться спад и видно, что прирост в основном связан с выявлением неопасных проблем безопасности:

Также в последние несколько лет наблюдается уменьшение числа опасных уязвимостей в процентном отношении от общего числа проблем с безопасностью:

При разборе уязвимостей, которым присвоен критический уровень опасности, 35% таких уязвимостей вызваны переполнением буфера, 8% - некорректной организацией управления доступом и 6% недостаточной проверкой корректности входных данных:

Из общего числа уязвимостей лидируют проблемы, позволяющие осуществить подстановку кода HTML/JavaScript на страницы (Cross-Site Scripting, XSS), но среди проблем с высоким уровнем опасности XSS-уязвимости почти не встречаются. При выборке трех самых распространённых уязвимостей года, XSS входит в число таких проблем с 2005 года. По числу уязвимостей также лидируют проблемы, связанные с переполнением буфера и подстановкой SQL-кода. Тем не менее, в 2012 году наблюдается выход в число лидеров проблем, связанных с обходом ограничений доступа, а в 2011 году уязвимостей из-за недостаточной проверки входных данных.

При рассмотрении распределения интенсивности выявления всех уязвимостей по отдельным продуктам, отмечено, что больше всего уязвимостей найдено в ядре Linux. В абсолютных показателях по числу уязимостей лидируют Windows и Mac OS X, но данные системы представлены в отчёте с разбивкой по типам и версиям продуктов (например, вместо одной системы Mac OS X было упомянуто три продукта, а число редакций Windows составило 13).

Если рассматривать только опасные уязвимости, то ядро Linux даже не вошло в десятку лидеров:

При оценке критических проблем лидируют браузеры, Java и Flash:

При суммировании данных по типам продуктов, исключив мобильные платформы, для Windows зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для Linux - 1752 (были учтены уникальные CVE, в которых упомянуты такие дистрибутивы, как Ubuntu и RHEL). С учетом обилия поставляемого в дистрибутивах Linux программного обеспечения, в то время как в Windows и Mac OS X пользователю предлагается почти голая операционная система, лидерство Linux-продуктов по числу уязвимостей не вызывает удивления.

Список вендоров, в продуктах которых чаще всего находят уязвимости: