Анализ уязвимостей за 6 месяцев. Firefox обогнал конкурентов по числу уязвимостей

11 ноября 2009 года

Компания Cenzic, специализирующаяся в области повышения безопасности web-технологий, представила (Архивная копия от 10 августа 2010 на Wayback Machine) аналитический отчет (Архивная копия от 17 января 2012 на Wayback Machine) (PDF, 900 Кб), в котором обобщены данные об обнаруженных в первой половине 2009 года уязвимостях и зафиксированных атаках злоумышленников. В качестве источников данных использовались сообщения об уязвимостях, публикуемые такими службами, как Mitre, OWASP, SANS, Secunia, Security Tracker, ClickToSecure, Symantec и US-CERT.

Один из основных тезисов отчета - преобладание числа обнаруженных уязвимостей в Firefox, по сравнению с другими web-браузерами: на Firefox приходится 44% всех найденных в web-браузерах за первое полугодие уязвимостей, Safari - 35%, Internet Explorer - 15% и Opera - 6%. Следует заметить, что при этом учтено лишь общее число уязвимостей, без их разделения по степени опасности. Кроме того, открытые исходные тексты Firefox способствуют проведению усиленного аудита, поэтому вместо утверждения о том, что Firefox наиболее уязвим можно говорить о том, что в Firefox наиболее активно выявляются и устраняются ошибки (многие уязвимости Firefox найдены его непосредственными разработчиками) и при этом обеспечивается минимальное время реагирования при обнаружении уязвимостей. Более того, нахождение уязвимостей в Firefox значительно упрощает открытость системы трекинга ошибок, в котором как на ладони видны точки в которых следует искать проблемы.

Другие интересные тенденции, наблюдаемые в отчете:

• За первое полугодие зафиксировано 3100 уязвимостей, что на 10% больше, чем во втором полугодии 2008 года;
• Наибольшее число опубликованных эксплоитов использовало для поражения приложений ошибки, дающие возможность подстановки SQL кода (25%), осуществления XSS-атак через подстановку JavaScript блоков (17%), обхода механизмов аутентификации (14%), переполнения буфера (12%);
• 78% из найденных уязвимостей связаны с web-технологиями, т.е. зафиксированы в web-серверах, web-приложениях, web-браузерах и дополнениях к ним. По сравнению с прошлым годом, наблюдается тенденция роста числа уязвимостей в связанных с web приложениях, по отношению к числу уязвимостей в обычных серверных или десктоп-приложениях. В первом квартале 2008 года этот показатель составлял 70%.
• В десятку продуктов, в которых зафиксированы самые опасные уязвимости, вошли: phpMyAdmin, SAP cFolders, Sun Java, Citrix Web Interface, Apache Tomcat, IBM Tivoli, Symantec. Интересно, что в резюме к отчету упоминаются не phpMyAdmin и Apache Tomcat, а PHP и Apache, что существенно искажает картину.