Отчет с анализом проблем безопасности за 2007 год

18 января 2008 года

Secunia.com опубликовала аналитический отчет (PDF, 170 Кб), в котором анализируются тенденции обнаружения проблем безопасности в открытом и проприетарном ПО в 2007 году.

Несколько интересных выводов:

• Общее число экстремально критических уязвимостей уменьшилось, в 2005 было 20 таких уязвимостей, в 2006 - 24, в 2007 - 2;
• Число критических ошибок остолось на прежнем уровне,

в 2005 - 851, в 2006 - 1244, в 2007 - 1149. Число незначительных уязвимостей уменьшилось.

• Если рассматривать ошибки по классам, то увеличилось число проблем связанных с получением закрытой информации, спуфингом, локальным повышением привилегий;
• Интересные данные представлены в разделе операционных систем: в Windows было обнаружено 123 уязвимости, из них 98 непосредственно связанны с операционной системой. В RadHat было найдено 633 уязвимости, но с системой связано всего 4, остальные 629 проблем касаются стороннего ПО. Для MacOS X это соотношение - 89/146, HP UX - 14/61, Solaris 51/201.
• Выводы в области безопасности Web браузеров: Из открытых на момент написания отчета проблем для Internet Explorer помечено 10 уязвимостей, для Firefox - 8. Причем в Firefox уже оперативно исправлено 5 проблем из 8, а в IE только 3, остальные 7 уявзимостей остались без исправления (некоторые проблемы висят около года). Из них в Firefox - обнаружено 2 критические уязвимости, а в IE ни одной, но сумарный уровень риска для Firefox оценен в 876 баллов, а для IE в 2684 балла. Всего за год в Firefox найдено 64 уязвимости, а в IE - 43, Opera и Safari - 14.
• В список самых небезопасных программ (критерий оценки - число установок и опасность уязвимостей) вошли Adobe Flash Player 9.x, Sun Java JRE, Microsoft XML Core Services (MSXML), Apple QuickTime, WinRAR.