В феврале 2012 года портал по информационной безопасности SecurityLab. ru опубликовал 328 уведомлений безопасности, в которых было описано 684 уязвимости. В этом отчете мы расскажем о самых заметных из них и приведем несколько статистических выкладок.
К числу примечательных событий можно отнести выпуск компанией Immunity эксплоита к ранее неизвестной уязвимости в популярной СУБД MySQL. Данная брешь позволяет удаленному пользователю выполнить произвольный код на целевой системе.
Также следует отметить появление исправления безопасности к пакету программ Samba, в котором была устранена уязвимость удаленного выполнения кода.
Что касается операционных систем, то в феврале текущего года Apple выпустила исправление безопасности, устраняющее 50 уязвимостей в Apple Mac OS X. В свою очередь компания Oracle опубликовала патчи для Solaris 10, устраняющие ноябрьские уязвимости в Adobe Flash Player и уязвимость годичной давности в Pidgin, а также устранила 14 уязвимостей в Java.
Крупнейший разработчик ПО, компания Microsoft, за отчетный период выпустила 9 бюллетеней безопасности, устранив 21 уязвимость.
Лишь немного отстала компания Adobe - ее специалисты представили 3 уведомления безопасности, закрыв в общей сложности 17 уязвимостей в трех приложениях:
- Flash Player
- Shockwave Player
- RoboHelp
Кроме того, в феврале 2012 года стало известно сразу о двух уязвимостях нулевого дня - в Adobe Flash Player и модуле поисковой оптимизации vBSEO к vBulletin, а также о компрометации исходного кода продуктов Horde.
Распределение уязвимостей по векторам эксплуатации
В отчетном месяце было обнаружено 574 (84%) уязвимости, которые можно было эксплуатировать удаленно, 42 (6%) уязвимости - по локальной сети и 68 (10%) уязвимостей - локально. Таким образом, диаграмма распределения уязвимостей по векторам атак выглядит следующим образом:
Рис. 1. Диаграмма распределения уязвимостей по векторам эксплуатации
Наличие исправлений
По состоянию на 1 марта 2012 года производители устранили 511 уязвимостей, описанных в 197 уведомлениях. Для 18 уязвимостей (16 уведомлений) производителями было предложено временное решение. Не были устранены 155 уязвимостей, описанных в 115 бюллетенях, что составляет 35% от общего числа выпущенных уведомлений.
Рис. 2. Сводная статистика по наличию исправлений безопасности
Таким образом, 22,66% от числа всех уязвимостей не были устранены в течение месяца с момента выхода информации об уязвимости.
Распределение уязвимостей по рейтингу опасности
В феврале SecurityLab.ru выпустил 3 уведомления безопасности, затрагивающие продукты Horde с критическим рейтингом опасности. Критический рейтинг был присвоен этим уведомлениям в связи с внедрением бэкдора в их исходный код. Таким образом, в феврале было описано 3 уязвимости критической степени опасности, 156 уязвимостей - высокой, 177 уязвимостей - средней и 348 уязвимостей низкой степени опасности.
Диаграмма распределения уязвимостей по степени опасности выглядит следующим образом:
Рис. 3. Диаграмма распределения уязвимостей по рейтингу опасности
Для определения уровня опасности уязвимостей SecurityLab.ru использует CVSSv2 рейтинг со следующими критериями:
Уязвимость критической степени опасности - CVSSv2 рейтинг >= 8.7.
Примечание: К критическим уязвимостям относятся уязвимости нулевого дня (0-day), которые позволяют удаленно выполнить произвольный код на целевой системе. Под уязвимостями нулевого дня подразумеваются бреши, которые использовались злоумышленниками в реальных атаках до выхода какой-либо информации об уязвимости. Также критический рейтинг может быть присвоен уязвимости вследствие определенных обстоятельств, которые могут повлиять на безопасность использования приложения (например, внедрение бэкдора в исходный код приложения).
Уязвимость высокой степени опасности - CVSSv2 рейтинг >=7.4
Уязвимость средней степени опасности - CVSSv2 рейтинг >= 4.7
Уязвимость низкой степени опасности - CVSSv2 рейтинг < 4.7
Распределение уязвимостей по типам воздействия
Ниже приведена гистограмма по процентному соотношению типов воздействий в описанных уведомлениях безопасности.
Рис. 4. Распределение уведомлений по типам воздействия
Почти треть (27,65%) описанных уведомлений позволяли удаленному пользователю произвести XSS нападение, 21,66% - выполнить произвольный код на системе и 13,13% - получить доступ к важным данным.
Распределение уязвимостей по типам ПО
Наибольшее число уязвимостей было обнаружено в веб-приложениях - 35,38% (242), затем следует клиентское ПО - 25.15% (172), серверное ПО - 28.51% (195) и компоненты операционных систем - 10,96% (75).
Рис. 5. Диаграмма распределения уязвимостей по типам ПО
Уязвимости в клиентских приложениях
В феврале 2012 года больше всего уязвимостей (63) было обнаружено в браузерах. На втором месте - средства разработки (24), на третьем - мультимедийные приложения (21). Четвертое место занимают почтовые приложения (14), а пятое - ActiveX-компоненты (12).
Наиболее оперативно выпускались исправления для браузеров и почтовых клиентов (100% результат). Аутсайдерами здесь являются ActiveX-компоненты и мультимедийные приложения - 4 и 3 уязвимости соответственно за отчетный период остаются незакрытыми.
| Тип ПО | Кол-во уязвимостей | Наличие исправления | Уровень опасности | ||||
| Да | Нет | ВР | Высокий | Средний | Низкий | ||
| ActiveX-компоненты | 12 | 8 | 4 | 0 | 10 | 0 | 2 |
| FTP клиенты | 1 | 1 | 0 | 0 | 0 | 1 | 0 |
| Instant Messenger и IRC клиенты | 5 | 3 | 2 | 0 | 2 | 1 | 2 |
| IRC клиенты | 1 | 0 | 1 | 0 | 1 | 0 | 0 |
| Антивирусы | 1 | 0 | 1 | 0 | 0 | 0 | 1 |
| Аппаратные устройства | 3 | 1 | 2 | 0 | 0 | 0 | 3 |
| Браузеры | 63 | 62 | 0 | 1 | 36 | 12 | 15 |
| ПО для виртуализации | 1 | 1 | 0 | 0 | 1 | 0 | 0 |
| Мультимедийные приложения | 21 | 18 | 3 | 0 | 18 | 2 | 1 |
| Офисные приложения | 9 | 8 | 1 | 0 | 9 | 0 | 0 |
| Почтовые клиенты | 14 | 14 | 0 | 0 | 7 | 1 | 6 |
| Средства разработки | 24 | 21 | 2 | 1 | 7 | 12 | 5 |
| Другие приложения | 29 | 22 | 6 | 1 | 11 | 10 | 8 |
Табл. 1. Уязвимости в клиентском ПО
Сравнительная таблица уязвимостей в самых популярных браузерах выглядит следующим образом:
| Браузер/опасность | Высокий | Средний | Низкий |
Chrome 16.x | 12 | 4 | 4 |
Chrome 17.x | 7 | 5 | 0 |
Firefox 3.6.x | 4 | 0 | 1 |
Firefox 9.x | 4 | 1 | 3 |
Firefox 10.x | 2 | 0 | 0 |
Internet Explorer 6.x | 0 | 0 | 1 |
Internet Explorer 7.x | 2 | 0 | 2 |
Internet Explorer 8.x | 2 | 0 | 2 |
Internet Explorer 9.x | 2 | 0 | 2 |
Табл. 2. Распределение уязвимостей по версиям браузеров.
Таким образом, больше всего уязвимостей было обнаружено в Google Chrome. Тем не менее, на основании этих данных нельзя делать выводы об уровне безопасности того или иного браузера, влиять на который могут сразу несколько параметров: скорость выпуска исправлений, политика в отношении публикации самостоятельно найденных уязвимостей, популярность браузера, динамика выхода новых версий и т.д.
Среди мультимедийных приложений по количеству уязвимостей лидировали Adobe Shockwave Player и RealPlayer.
Уязвимости в серверных приложениях
| Тип ПО | Кол-во | Наличие исправления | Уровень опасности | ||||
| Да | Нет | ВР | Высокий | Средний | Низкий | ||
| DNS серверы | 2 | 0 | 2 | 0 | 0 | 2 | 0 |
| SCADA-системы | 10 | 3 | 7 | 0 | 1 | 4 | 5 |
| Web-серверы | 1 | 1 | 0 | 0 | 0 | 0 | 1 |
| Антивирусы | 2 | 2 | 0 | 0 | 0 | 0 | 2 |
| Аппаратные устройства | 33 | 22 | 11 | 0 | 3 | 14 | 16 |
| Базы данных | 6 | 5 | 1 | 0 | 0 | 1 | 5 |
| ПО для виртуализации | 58 | 52 | 1 | 5 | 1 | 19 | 38 |
| Другие серверы сетевой инфраструктуры (WINS, tftp и т.д.) | 1 | 1 | 0 | 0 | 1 | 0 | 0 |
| Межсетевые экраны | 2 | 2 | 0 | 0 | 0 | 1 | 1 |
| Почтовые серверы | 2 | 2 | 0 | 0 | 2 | 0 | 0 |
| Серверы приложений | 26 | 24 | 0 | 2 | 6 | 9 | 11 |
| Системы контроля и мониторинга (спам фильтры, снифферы и т.п.) | 2 | 2 | 0 | 0 | 0 | 0 | 2 |
| Системы удаленного управления | 1 | 1 | 0 | 0 | 0 | 1 | 0 |
| Службы каталогов | 3 | 2 | 0 | 1 | 0 | 1 | 2 |
| Другие серверные приложения | 75 | 59 | 13 | 3 | 9 | 26 | 40 |
Табл. 3. Уязвимости в серверных приложениях
Среди серверных приложений больше всего уязвимостей было обнаружено в ПО для виртуализации. На втором месте по числу найденных уязвимостей находятся аппаратные устройства, на третьем - серверы приложений.
Стоит отметить, что SCADA-системы приобретают все большую популярность среди специалистов по информационной безопасности, однако разработчики данного ПО не уделяют должного внимания защищённости этих продуктов: 7 из 10 уязвимостей в SCADA-системах не были устранены по состоянию на 1 марта 2012 года.