20 самых значительных компьютерных уязвимостей 2007 года

Институт SANS опубликовал ежегодный отчет о наиболее опасных уязвимостях в программном обеспечении за 2007 год. 7 лет назад SANS и Национальный центр защиты инфраструктуры (NIPC) опубликовали документ, суммирующий 10 наиболее опасных уязвимостей за год. С тех пор традиция публиковать такие отчеты прижилась, а топ10 подрос до топ20.

Рассмотрим основные тенденции 2007 года:

  • В этом году мы стали свидетелями значительного роста числа ошибок в клиентском ПО: браузерах, офисных пакетах, медиаплеерах и т.п. Все это привело к вовлечению в ботнеты еще большего числа компьютеров.
  • Злоумышленники стали более изобретательными в получении конфиденциальных данных, поэтому требуются новые методы контроля информации, покидающей пределы предприятия.
  • Корпоративный пользователь, посещающий вредоносные сайты, представляет главную угрозу безопасности предприятия.
  • Заметно уменьшилась подверженность операционных систем сетевым червям. Из курьезов можно отметить случай, когда сетевой червь использовал для размножения ошибку переполнения буфера в Symantec Anti-Virus.
  • Пароли по умолчанию во многих операционных системах и сервисах продолжают оставаться очень слабыми, что позволяет успешно проводить атаки по словарю.
  • Уязвимости в web-приложениях (как в open source, так и в коммерческих) составляют почти половину всех обнаруженных уязвимостей.

Итак, наиболее проблемные, с точки зрения безопасности, программы 2007 года:

19. СУБД Oracle содержала 18 критических ошибок, позволяющих проводить DoS-атаки и выполнять произвольные SQL-запросы.

18. Почти все (кроме NOD32 и DrWeb) антивирусные программы содержали уязвимости средней и высокой опасности. От Avast!, ClamAV, BitDefender до Kaspersky и Symantec.

17. EMC Legato Networker.

16. Symantec Veritas NetBackup.

15. Computer Associates (CA) BrightStor ARCServe. Масса опасных уязвимостей. Победил в номинации самого уязвимого ПО для резервного копирования.

14. UNIX-ориентированные серверные службы (Samba, ProFTPD и др). 12 критически уязвимостей.

13. Windows XP Home and Professional, Windows 2003 и Windows Vista содержат наибольшее количество уязвимостей в серверных службах. 11 критических ошибок.

12. Windows Media Player. 4 ошибки.

11. Apple Quicktime. Лидер по числу уязвимостей среди медиапроигрывателей. 19 ошибок от DoS до выполнения произвольного кода.

10. Adobe Flash Player. 2 ошибки.

9. Apple iTunes. 1 ошибка. Выполнение произвольного кода.

8. RealPlayer. 3 уязвимости от DoS до выполнения произвольного кода.

7. Eudora. 3 критических ошибки с 2006 года и одна 2007 года все еще позволяют выполнить произвольный код.

6. Mozilla Thunderbird. Лидер по числу уязвимостей в почтовом ПО.

5. Microsoft Outlook Express, Outlook, Vista Windows Mail. Позволяют выполнить произвольный код с помошью специально подготовленного письма.

4. Microsoft Office всех версий. Лидер по количеству ошибок среди офисных пакетов.

3. Adobe Acrobat Reader. Широкой спектр уязвимостей от DoS до выполнения произвольного кода. Кроме того, plugin от Adobe для просмотра PDF в браузере EI или Firefox тоже содержал уязвимость.

2. Mozilla Firefox. В этом году опубликовано большое число сообщений об уязвимостях, позволяющих подменять URL, портить память и выполнять произвольный код. Хотя ошибки оперативно исправляются, много людей продолжает использовать старые версии ПО.

1. Internet Explorer. Большинство уязвимостей связано с технологией ActiveX.

А что Вы думаете? ;)