В феврале 2012 года портал по информационной безопасности SecurityLab.ru опубликовал 328 уведомлений безопасности, в которых было описано 684 уязвимости. В этом отчете мы расскажем о самых заметных из них и приведем несколько статистических выкладок.
К числу примечательных событий можно отнести выпуск компанией Immunity эксплоита к ранее неизвестной уязвимости в популярной СУБД MySQL. Данная брешь позволяет удаленному пользователю выполнить произвольный код на целевой системе.
Также следует отметить появление исправления безопасности к пакету программ Samba, в котором была устранена уязвимость удаленного выполнения кода.
Что касается операционных систем, то в феврале текущего года Apple выпустила исправление безопасности, устраняющее 50 уязвимостей в Apple Mac OS X. В свою очередь компания Oracle опубликовала патчи для Solaris 10, устраняющие ноябрьские уязвимости в Adobe Flash Player и уязвимость годичной давности в Pidgin, а также устранила 14 уязвимостей в Java.
Крупнейший разработчик ПО, компания Microsoft, за отчетный период выпустила 9 бюллетеней безопасности, устранив 21 уязвимость.
Лишь немного отстала компания Adobe — ее специалисты представили 3 уведомления безопасности, закрыв в общей сложности 17 уязвимостей в трех приложениях:
Кроме того, в феврале 2012 года стало известно сразу о двух уязвимостях нулевого дня — в Adobe Flash Player и модуле поисковой оптимизации vBSEO к vBulletin, а также о компрометации исходного кода продуктов Horde.
В отчетном месяце было обнаружено 574 (84%) уязвимости, которые можно было эксплуатировать удаленно, 42 (6%) уязвимости — по локальной сети и 68 (10%) уязвимостей — локально. Таким образом, диаграмма распределения уязвимостей по векторам атак выглядит следующим образом:
Рис. 1. Диаграмма распределения уязвимостей по векторам эксплуатации
По состоянию на 1 марта 2012 года производители устранили 511 уязвимостей, описанных в 197 уведомлениях. Для 18 уязвимостей (16 уведомлений) производителями было предложено временное решение. Не были устранены 155 уязвимостей, описанных в 115 бюллетенях, что составляет 35% от общего числа выпущенных уведомлений.
Рис. 2. Сводная статистика по наличию исправлений безопасности
Таким образом, 22,66% от числа всех уязвимостей не были устранены в течение месяца с момента выхода информации об уязвимости.
В феврале SecurityLab.ru выпустил 3 уведомления безопасности, затрагивающие продукты Horde с критическим рейтингом опасности. Критический рейтинг был присвоен этим уведомлениям в связи с внедрением бэкдора в их исходный код. Таким образом, в феврале было описано 3 уязвимости критической степени опасности, 156 уязвимостей — высокой, 177 уязвимостей — средней и 348 уязвимостей низкой степени опасности.
Диаграмма распределения уязвимостей по степени опасности выглядит следующим образом:
Рис. 3. Диаграмма распределения уязвимостей по рейтингу опасности
Для определения уровня опасности уязвимостей SecurityLab.ru использует CVSSv2 рейтинг со следующими критериями:
Уязвимость критической степени опасности — CVSSv2 рейтинг >= 8.7.
Примечание: К критическим уязвимостям относятся уязвимости нулевого дня (0-day), которые позволяют удаленно выполнить произвольный код на целевой системе. Под уязвимостями нулевого дня подразумеваются бреши, которые использовались злоумышленниками в реальных атаках до выхода какой-либо информации об уязвимости. Также критический рейтинг может быть присвоен уязвимости вследствие определенных обстоятельств, которые могут повлиять на безопасность использования приложения (например, внедрение бэкдора в исходный код приложения).
Уязвимость высокой степени опасности — CVSSv2 рейтинг >=7.4
Уязвимость средней степени опасности — CVSSv2 рейтинг >= 4.7
Уязвимость низкой степени опасности — CVSSv2 рейтинг < 4.7
Ниже приведена гистограмма по процентному соотношению типов воздействий в описанных уведомлениях безопасности.
Рис. 4. Распределение уведомлений по типам воздействия
Почти треть (27,65%) описанных уведомлений позволяли удаленному пользователю произвести XSS нападение, 21,66% — выполнить произвольный код на системе и 13,13% — получить доступ к важным данным.
Наибольшее число уязвимостей было обнаружено в веб-приложениях — 35,38% (242), затем следует клиентское ПО — 25.15% (172), серверное ПО — 28.51% (195) и компоненты операционных систем — 10,96% (75).
Рис. 5. Диаграмма распределения уязвимостей по типам ПО
В феврале 2012 года больше всего уязвимостей (63) было обнаружено в браузерах. На втором месте — средства разработки (24), на третьем — мультимедийные приложения (21). Четвертое место занимают почтовые приложения (14), а пятое — ActiveX-компоненты (12).
Наиболее оперативно выпускались исправления для браузеров и почтовых клиентов (100% результат). Аутсайдерами здесь являются ActiveX-компоненты и мультимедийные приложения — 4 и 3 уязвимости соответственно за отчетный период остаются незакрытыми.
Тип ПО | Кол-во уязвимостей | Наличие исправления | Уровень опасности | ||||
Да | Нет | ВР | Высокий | Средний | Низкий | ||
ActiveX-компоненты | 12 | 8 | 4 | 0 | 10 | 0 | 2 |
FTP клиенты | 1 | 1 | 0 | 0 | 0 | 1 | 0 |
Instant Messenger и IRC клиенты | 5 | 3 | 2 | 0 | 2 | 1 | 2 |
IRC клиенты | 1 | 0 | 1 | 0 | 1 | 0 | 0 |
Антивирусы | 1 | 0 | 1 | 0 | 0 | 0 | 1 |
Аппаратные устройства | 3 | 1 | 2 | 0 | 0 | 0 | 3 |
Браузеры | 63 | 62 | 0 | 1 | 36 | 12 | 15 |
ПО для виртуализации | 1 | 1 | 0 | 0 | 1 | 0 | 0 |
Мультимедийные приложения | 21 | 18 | 3 | 0 | 18 | 2 | 1 |
Офисные приложения | 9 | 8 | 1 | 0 | 9 | 0 | 0 |
Почтовые клиенты | 14 | 14 | 0 | 0 | 7 | 1 | 6 |
Средства разработки | 24 | 21 | 2 | 1 | 7 | 12 | 5 |
Другие приложения | 29 | 22 | 6 | 1 | 11 | 10 | 8 |
Табл. 1. Уязвимости в клиентском ПО
Сравнительная таблица уязвимостей в самых популярных браузерах выглядит следующим образом:
Браузер/опасность | Высокий | Средний | Низкий |
Chrome 16.x |
12 | 4 | 4 |
Chrome 17.x |
7 | 5 | 0 |
Firefox 3.6.x |
4 | 0 | 1 |
Firefox 9.x |
4 | 1 | 3 |
Firefox 10.x |
2 | 0 | 0 |
Internet Explorer 6.x |
0 | 0 | 1 |
Internet Explorer 7.x |
2 | 0 | 2 |
Internet Explorer 8.x |
2 | 0 | 2 |
Internet Explorer 9.x |
2 | 0 | 2 |
Табл. 2. Распределение уязвимостей по версиям браузеров.
Таким образом, больше всего уязвимостей было обнаружено в Google Chrome. Тем не менее, на основании этих данных нельзя делать выводы об уровне безопасности того или иного браузера, влиять на который могут сразу несколько параметров: скорость выпуска исправлений, политика в отношении публикации самостоятельно найденных уязвимостей, популярность браузера, динамика выхода новых версий и т.д.
Среди мультимедийных приложений по количеству уязвимостей лидировали Adobe Shockwave Player и RealPlayer.
Тип ПО | Кол-во | Наличие исправления | Уровень опасности | ||||
Да | Нет | ВР | Высокий | Средний | Низкий | ||
DNS серверы | 2 | 0 | 2 | 0 | 0 | 2 | 0 |
SCADA-системы | 10 | 3 | 7 | 0 | 1 | 4 | 5 |
Web-серверы | 1 | 1 | 0 | 0 | 0 | 0 | 1 |
Антивирусы | 2 | 2 | 0 | 0 | 0 | 0 | 2 |
Аппаратные устройства | 33 | 22 | 11 | 0 | 3 | 14 | 16 |
Базы данных | 6 | 5 | 1 | 0 | 0 | 1 | 5 |
ПО для виртуализации | 58 | 52 | 1 | 5 | 1 | 19 | 38 |
Другие серверы сетевой инфраструктуры (WINS, tftp и т.д.) | 1 | 1 | 0 | 0 | 1 | 0 | 0 |
Межсетевые экраны | 2 | 2 | 0 | 0 | 0 | 1 | 1 |
Почтовые серверы | 2 | 2 | 0 | 0 | 2 | 0 | 0 |
Серверы приложений | 26 | 24 | 0 | 2 | 6 | 9 | 11 |
Системы контроля и мониторинга (спам фильтры, снифферы и т.п.) | 2 | 2 | 0 | 0 | 0 | 0 | 2 |
Системы удаленного управления | 1 | 1 | 0 | 0 | 0 | 1 | 0 |
Службы каталогов | 3 | 2 | 0 | 1 | 0 | 1 | 2 |
Другие серверные приложения | 75 | 59 | 13 | 3 | 9 | 26 | 40 |
Табл. 3. Уязвимости в серверных приложениях
Среди серверных приложений больше всего уязвимостей было обнаружено в ПО для виртуализации. На втором месте по числу найденных уязвимостей находятся аппаратные устройства, на третьем — серверы приложений.
Стоит отметить, что SCADA-системы приобретают все большую популярность среди специалистов по информационной безопасности, однако разработчики данного ПО не уделяют должного внимания защищённости этих продуктов: 7 из 10 уязвимостей в SCADA-системах не были устранены по состоянию на 1 марта 2012 года.