Отчет по уязвимостям за второй квартал 2008 года

Информационный портал по безопасности SecurityLab.ru опубликовал квартальный отчет по уязвимостям, эксплоитам, вирусам и уведомлениям.

Во втором квартале 2008 года SecurityLab опубликовал 891 уязвимость, 226 эксплоитов, 142 описания различных вирусов и 591 уведомление безопасности от различных производителей.

1. Общие данные по уязвимостям

1.1 Статистика по уязвимостям

Рис.1 Общая статистика по уязвимостям за II квартал 2008 года

Как и в предыдущем квартале больше всего уязвимостей было обнаружено в web приложениях. На второе место, по количеству обнаруженных уязвимостей, переместились клиентские приложения (24.11% от общего количества уязвимостей).

1.2 Векторы эксплуатации уязвимостей

Рис.2 Векторы эксплуатации уязвимостей за II квартал 2008 года

Во втором квартале 2008 года было опубликовано 746 уязвимостей, которые можно эксплуатировать удаленно, 69 уязвимостей, которые можно позволяют эксплуатацию в пределах локальной сети и 76 локальных уязвимостей. По сравнению с первым кварталом года количество удаленно эксплуатируемых уязвимостей выросло на 5,27%.

1.3 Степень опасности уязвимостей

Рис.3 Степень опасности уязвимостей

Во втором квартале 2008 года было опубликовано 2 уязвимости критической степени опасности (отозванная уязвимость в Adobe Flash Player и уязвимость в Ourgame GLWorld ActiveX компоненте), 159 уязвимостей высокой степени опасности, 397 уязвимостей средней степени и 333 уязвимости низкой степени опасности.

1.4 Типы уязвимостей

Рис.4 Типы уязвимостей

Самыми распространенными типами уязвимостей, как и в первом квартале 2008 года, являются:

• Компрометация системы (268 уязвимостей)
• Неавторизованное изменение данных (239 уязвимостей)
• Межсайтовый скриптинг (186 уязвимостей)

1.5 Наличие исправлений

Рис. 5 Наличие исправлений

Всего было устранено 505 уязвимостей, 12 уязвимостей было устранено частично, к 10 уязвимостям производители опубликовали инструкции по устранению и 364 уязвимости не устранены в настоящее время.

2. Статистика по типам приложений

2.1 Web приложения

В этой категории программного обеспечения было обнаружено 430 уязвимостей, 254 из которых не устранены в настоящее время.

Тип ПО	Кол-во уязвимостей		Макс. рейтинг опасности
	Всего	Не устранено
Системы управления содержанием	69	44	Высокий
Форумы, гостевые книги, чаты	54	34	Высокий
Интернет магазины и т.п.	22	19	Высокий
Frameworks	3	0	Средний
Другие Web приложения	277	156	Высокий
Языки сценариев (PHP, ASP и т.п.)	5	1	Высокий

 

Рис.6 Типы уязвимостей в web приложениях

Среди Web приложений во втором квартале 2008 года преобладают следующие типы уязвимостей:

• Неавторизованное изменение данных (217 уязвимостей)
• Межсайтовый скриптинг (149 уязвимостей)
• Раскрытие важных данных (63 уязвимости)

2.2 Клиентские приложения
В клиентском программном обеспечении было обнаружено 223 уязвимости, из которых не устранено 76 уязвимостей.

Тип ПО	Кол-во уязвимостей		Макс. рейтинг опасности
	Всего	Не устранено
Браузеры	15	4	Высокий
Офисные приложения	14	0	Высокий
Другие клиентские приложения	55	12	Высокий
FTP клиенты	10	5	Низкий
Средства разработки	13	2	Высокий
Почтовые клиенты	2	1	Высокий
Мультимедийные приложения	43	14	Высокий
Instant Messenger и IRC клиенты	8	2	Высокий
ActiveX компоненты	44	29	Критический
Игры	5	4	Средний
Персональные межсетевые экраны	1	0	Низкий
Архиваторы	2	0	Средний
Аппаратные устройства (IP-телефоны, сканеры, принтеры и др.)	4	2	Высокий
Виртуализационное ПО	2	0	Низкий
Антивирусы	5	1	Средний

 

Рис.7 Типы уязвимостей в клиентском программном обеспечении

Больше половины обнаруженных уязвимостей - 52,48% или 148 уязвимостей - в клиентском ПО позволяют удаленное выполнение произвольного кода и 19,15% или 54 уязвимости позволяют атакующему вызвать отказ в обслуживании.

189 уязвимостей (84.75%) можно эксплуатировать удаленно, 7 уязвимостей (3.14%) – локально, и 27 уязвимостей (12.11%) – по локальной сети.

2 уязвимости (0,9%) представляют критическую степень опасности, 97 уязвимостей (43,5%) – высокую, 47 уязвимостей (21,08%) – среднюю, и 77 уязвимостей (34,53%) – низкую степень опасности.

2.3 Серверные приложения

Всего было обнаружено 187 уязвимостей в серверном программно обеспечении, из которых 36 не устранено в настоящее время.

Тип ПО	Кол-во уязвимостей				Макс. рейтинг опасности
	Всего		Не устранено
Серверы сетевой инфраструктуры
FTP серверы	3		1		Средний
Почтовые серверы	7		2		Высокий
Службы каталогов	10		2		Высокий
Виртуализационное ПО	5		0		Высокий
Другие серверы сетевой инфраструктуры (WINS, tftp и т.д.)	7		2		Средний
Серверы приложений
Web-серверы	8		0		Средний
Базы данных	6		1		Высокий
Серверы приложений	11		2		Высокий
Игровые серверы	5		3		Средний
Средства защиты
IDS системы		3	1		Средний
Межсетевые экраны		1	0		Высокий
Приложения идентификации		4	0		Средний
Прокси серверы		1	1		Низкий
Системы контроля и мониторинга (спам фильтры, снифферы и т.п.)		12	1	Высокий
Системы удаленного управления		5	0		Средний
Системы управления доступом		1	0		Высокий
Антивирусы		4	0		Высокий
Другие серверные приложения
Другие серверные приложения	68		12		Высокий
Аппаратные устройства
Аппаратные устройства (серверы печати, маршрутизаторы, коммутаторы)		26	8			Высокий

 

Рис.8 Типы уязвимостей в серверном программном обеспечении

В серверном программном обеспечении самыми распространенными типами уязвимостей являются:

• Отказ в обслуживании (31,48% - 85 уязвимостей)
• Компрометация системы (20% - 54 уязвимости)
• Обход ограничений безопасности (12,96% - 35 уязвимостей)

11,23% (21 уязвимость) обнаруженных уязвимостей представляют высокий рейтинг опасности, 40,64% (76 уязвимостей) – средний и 48,13% (90 уязвимостей) – низкий рейтинг опасности.

62,03% (116 уязвимостей) эксплуатируются удаленно, 27,27% (51 уязвимость) – по локальной сети и 10,7% (20 уязвимостей) – локально.

2.4 Уязвимости в компонентах ОС

Всего было опубликовано 85 уведомлений, описывающие 188 уязвимостей, из которых не устранено 4 уязвимости.

Рис.9 Уязвимости в компонентах ОС

ОС	Кол-во уведомлений/уязвимостей		Макс. рейтинг опасности
	Всего	Не устранено
AIX 5.x, 6.x	2/4	0	Низкая
Apple Macintosh OS X	2/37	0	Высокий
Cisco IOS 12.x, Cisco IOS R12.x	2/2	0	Средний
Cisco CATOS 6.x, 7.x, 8.x	1/1	0	Средний
HP-UX 11.x	4/4	0	Средняя
Linux Kernel 2.4.x	4/8	0	Средний
Linux Kernel 2.6.x	7/12	0	Средний
Debian GNU/Linux 4.0	1/1	0	Средний
Fedora 8	2/2	0	Средний
Fedora 7, 9	1/1	0	Средний
Gentoo Linux 1.x	1/1	0	Средний
RedHat Enterprise Linux AS/WS/ES 4	2/2	0	Низкий
Red Hat Enterprise Linux (v. 5 server)	4/4	0	Средний
Red Hat Enterprise Linux Desktop (v. 5 client)	3/3	0	Низкий
Red Hat Enterprise Linux Desktop Workstation (v. 5 client)	3/3	0	Средний
rPath Linux 1.x	1/1	0	Средний
Ubuntu Linux 7.04, 7.10, 8.04	1/1	0	Средний
Microsoft Windows 2000 Professional/Server	7/9	0	Высокая
Microsoft Windows XP	9/11	1/1	Высокая
Microsoft Windows Server 2003	8/10	1/1	Высокая
Microsoft Windows Vista	7/9	1/1	Высокая
Microsoft Windows Server 2008	5/7	1/1	Высокая
Microsoft Windows CE 5.x	1/1	0	Высокая
Sun Solaris 8	7/13	1/3	Высокая
Sun Solaris 9	8/14	1/3	Высокая
Sun Solaris 10	18/26	1/3	Высокая
Unixware 7.1.4	1/1	0	Низкая

В таблице указано количество уведомлений об уязвимостях, опубликованных на SecurityLab.ru и количество уязвимостей, описанных в уведомлении. Диаграмма «Уязвимости в компонентах ОС» создана с учетом опубликованных уведомлений на SecurityLab.ru.
Во втором квартале 2008 года больше всего уязвимостей было обнаружено в:

• Apple Macintosh OS X (37 уязвимостей в 2-х уведомлениях)
• Sun Solaris 10 (26 уязвимостей в 18 уведомлениях)
• Sun Solaris 9 (14 уязвимостей в 8 уведомлениях)
• Sun Solaris 8 (13 уязвимостей в 7 уведомлениях)
• Linux Kernel 2.6.x (12 уязвимостей в 7 уведомлениях)
• Microsoft Windows XP (11 уязвимостей в 9 уведомлениях)

 

Рис. 10 Типы уязвимостей в компонентах ОС

В компонентах ОС самыми распространенными типами уязвимостей, как и в первом квартале, являются:

• Отказ в обслуживании (27,62%)
• Компрометация системы (25,71%)
• Повышение привилегий (23,81%)

В компонентах ОС 44 уязвимости (51,76%) можно эксплуатировать удаленно, 13 уязвимостей (15,29%) – по локальной сети, 28 уязвимостей (32,94%) – локально.

21 уязвимость (24,71%) представляет высокую степень опасности, 22 уязвимости (25.88%) – среднюю и 42 уязвимости (49,41%) – низкую.

3. Уведомления безопасности от производителей

Всего во втором квартале 2008 года было опубликовано 591 уведомление безопасности. Хотелось бы обратить внимание на следующих производителей:

Производитель	Кол-во уведомлений
Apple	2
Cisco	13
Debian	75
Fedora	228
FreeBSD	3
Gentoo Linux	63
HP	24
Microsoft	19
Oracle	1
Rad Hat	68
Slackware Linux	15
Sun Microsystems	45
SuSe	21
Symantec	5

4. Итоги

Особых изменений, по сравнению с первым кварталом этого года, в векторах атаки, типах воздействия и степени опасности уязвимостей не произошло. По-прежнему, больше всего уязвимостей не устранено в web приложениях (59,1%), большинство уязвимостей во всех типах приложений эксплуатируются удаленно, по типам воздействия, больше всего уязвимостей позволяют удаленное выполнение произвольного кода.

Самыми опасными уязвимостями во втором квартале 2008 года были:

1. Обход ограничений безопасности в Debian Linux и Ubuntu
2. Множественные уязвимости в Adobe Flash Player
3. Множественные уязвимости в Ourgame GLWorld ActiveX компоненте
4. Переполнение буфера в Creative Software AutoUpdate Engine ActiveX компоненте
5. Переполнение буфера в NCTSoft NCTAudioEditor NCTAudioGrabber2 ActiveX компоненте
6. Переполнение буфера в ICQ
7. Повреждение памяти в Trillian

Как и в первом квартале 2008 года, большое внимание уделяется уязвимостям в ActiveX компонентах и мультимедийных приложениях. Широкое использование этих типов приложений и несвоевременный выход исправлений делают их особенно привлекательными для злоумышленников. Именно в этих типах приложений было обнаружено больше всего уязвимостей и больше всего уязвимостей не было устранено.

Валерий Марчук
www.SecurityLab.ru