Zero dnia, luki w zabezpieczeniach przeglądarek internetowych wzrosły w 2014 roku

Liczba luk w zabezpieczeniach zero-day i przeglądarek internetowych wzrosła w 2014 r., Ale ogólnie producenci oprogramowania łatają się szybciej.

Dane pochodzą od Secunia, duńskiego dostawcy zabezpieczeń, który publikuje coroczne badanie trendów w zakresie luk w zabezpieczeniach oprogramowania, które są wykorzystywane przez hakerów do atakowania komputerów.

Luki zero-day - które są błędami oprogramowania aktywnie wykorzystywanymi przez osoby atakujące po ujawnieniu - wzrosły z 14 w 2013 r. Do 25 w ubiegłym roku. Tego rodzaju wady są jednymi z najbardziej niebezpiecznych i cenionych przez atakujących, ponieważ łaty nie są dostępne u dostawców.

Błędy raportu przeglądarki internetowej wzrosły do ​​1 035 w 2014 r., W porównaniu z 728 rokiem poprzednim, zgodnie z raportem Secunii.

Ale dobrą wiadomością jest to, że sprzedawcy poruszają się szybciej, aby naprawić wady. Secunia stwierdziła, że ​​ponad 83 procent z 15 435 luk w zabezpieczeniach znalezionych w 3870 aplikacjach miało łatkę dostępną po publicznym ujawnieniu błędu.

To w porównaniu do 78,5 procent w 2013 roku i znacznie lepiej niż w 2009 roku, kiedy tylko 49,9 procent produktów miało gotowy patch.

„Najbardziej prawdopodobne wyjaśnienie polega na tym, że badacze nadal koordynują swoje raporty o podatności na zagrożenia z dostawcami i ich programami podatności, co powoduje natychmiastową dostępność łat w większości przypadków”, zgodnie z raportem.

Ale Secunia stwierdziła, że ​​jeśli łatka nie byłaby gotowa w dniu ujawnienia usterki, prawdopodobne jest, że dostawcy nie zamierzaliby priorytetyzować poprawki. Odsetek produktów, które miały łatkę w miesiąc po ujawnieniu usterki, wzrósł tylko do 84,3 procent.

Secunia przyjrzała się także oprogramowaniu PDF, które jest często atakowane przez hakerów, ponieważ jest zainstalowany prawie na każdym komputerze.

Aplikacje PDF firmy Adobe Systems należą do najczęściej atakowanych w Internecie ze względu na ich rozpowszechnienie. Secunia powiedziała, że ​​program Adobe Reader, którego udział w rynku wynosi 85 procent, miał w ubiegłym roku 43 luki w zabezpieczeniach.

W ostatnich latach Adobe podjęło agresywny program do skanowania kodu aplikacji w poszukiwaniu problemów związanych z bezpieczeństwem i szybkiego generowania poprawek po wykryciu problemów.

Secunia stwierdziła, że ​​32 procent komputerów, które ankietował z danymi z programu Personal Software Inspector, który sprawdza liczbę wersji programów, nie posiadało aktualnej wersji programu Adobe's Reader, co naraża użytkowników na ryzyko.

Firma przeanalizowała również luki w zabezpieczeniach oprogramowania typu open source, rosnącą obawę o bezpieczeństwo po wykryciu kilku poważnych luk w oprogramowaniu kryptograficznym OpenSSL.

Pierwsza poważna luka OpenSSL, nazywana Heartbleed, zaskoczyła wielu ze względu na jej potencjalny wpływ i szeroką gamę programów, które z niej korzystają. Secunia pomyślała, że ​​dostawcy mogą szybciej załatać OpenSSL po tym, jak w ubiegłym roku wykryto kolejne problemy.

Ale tak nie było. Raport powiedział, że wielu dostawców nie łatało szybciej w poszukiwaniu innych błędów OpenSSL po Heartbleed.

„Organizacje nie powinny zakładać, że są w stanie przewidzieć, którzy dostawcy są niezawodni i szybko reagują, gdy zostaną wykryte luki w produktach powiązanych z bibliotekami typu open source”, powiedziała Secunia.

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.