The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: 20 самых значительных уязвимостей 2007 года"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: 20 самых значительных уязвимостей 2007 года"  
Сообщение от opennews (??) on 21-Янв-08, 20:25 
Институт SANS (http://www.sans.org/) опубликовал ежегодный отчет о наиболее опасных уязвимостях в программном обеспечении за 2007 год. Напомню, 7 лет назад SANS и Национальный центр защиты инфраструктуры (NIPC) опубликовали документ, суммирующий 10 наиболее опасных уязвимостей за год. С тех пор традиция публиковать такие отчеты прижилась, а top10 подрос до top20. Рассмотрим основные тенденции 2007 года:


- Заметно уменьшилась подверженность операционных систем сетевым червям. Из курьезов можно отметить случай, когда сетевой червь использовал для размножения ошибку переполнения буфера в Symantec Anti-Virus.</li>
- В этом году мы стали свидетелями значительного роста числа ошибок в клиентском ПО: браузерах, офисных пакетах, медиаплеерах и т.п. Все это привело к вовлечению в ботнеты еще большего числа компьютеров.</li>
- Корпоративный пользователь, посещающий вредоносные сайты, представляет главную угрозу безопасности предприятия.</li>
- Уязвимости в web-приложениях (как в open source, так и в коммерческих) составляют почти половину всех обнаруженных уязвимостей.</li>
- Пароли по умолчанию во многих операционных системах и сервисах продолжают оставаться очень слабыми, что позволяет успешно проводить атаки по словарю.</li>
- Злоумышленники стали более изобретательными в получении конфиденциальных данных, поэтому требуются новые методы контроля информации, покидающей пределы предприятия.</li>


Итак, самые глюкастые программы 2007 года.


- Internet Explorer. Большинство уязвимостей связано с технологией ActiveX.</li>
- Mozilla Firefox. В этом году опубликовано большое число сообщений об уязвимостях, позволяющих подменять URL, портить память и выполнять произвольный код. Хотя ошибки оперативно исправляются, много людей продолжает использовать старые версии ПО.</li>
- Adobe Acrobat Reader. Широкой спектр уязвимостей от DoS до выполнения произвольного кода. Кроме того, plugin от Adobe для просмотра PDF в браузере EI или Firefox тоже содержал уязвимость.</li>
- Microsoft Office всех версий. Лидер по количеству ошибок среди офисных пакетов.</li>
- Microsoft Outlook Express, Outlook, Vista Windows Mail. Позволяют выполнить произвольный код с помошью специально подготовленного письма.</li>
- Mozilla Thunderbird. Лидер по числу уязвимостей в почтовом ПО.</li>
- Eudora. 3 критических ошибки с 2006 года и одна 2007 года все еще позволяют выполнить произвольный код.</li>
- RealPlayer. 3 уязвимости от DoS до выполнения произвольного кода.</li>
- Apple iTunes. 1 ошибка. Выполнение произвольного кода.</li>
- Adobe Flash Player. 2 ошибки.</li>
- Apple Quicktime. Лидер по числу уязвимостей среди медиапроигрывателей. 19 ошибок от DoS до выполнения произвольного кода.</li>
- Windows Media Player. 4 ошибки.</li>
- Windows XP Home and Professional, Windows 2003 и Windows Vista содержат наибольшее количество уязвимостей в серверных службах. 11 критических ошибок.</li>
- UNIX-ориентированные серверные службы (Samba, ProFTPD и др). 12 критически уязвимостей.</li>
- Computer Associates (CA) BrightStor ARCServe. Масса опасных уязвимостей. Победил в номинации самого уязвимого ПО для резервного копирования.</li>
- Symantec Veritas NetBackup.</li>
- EMC Legato Networker.</li>
- Почти все (кроме NOD32 и DrWeb) антивирусные программы содержали уязвимости средней и высокой опасности. От Avast!, ClamAV, BitDefender до Kaspersky и Symantec.</li>
- СУБД Oracle содержала 18 критических ошибок, позволяющих проводить DoS-атаки и выполнять произвольные SQL-запросы.</li>


URL: http://www.sans.org/top20
Новость: http://www.opennet.ru/opennews/art.shtml?num=13749

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "20 самых значительных уязвимостей 2007 года"  
Сообщение от B.O.B.A.H. (??) on 21-Янв-08, 20:25 
# Computer Associates (CA) BrightStor ARCServe. Масса опасных уязвимостей. Победил в номинации самого уязвимого ПО для резервного копирования.
# Symantec Veritas NetBackup.
# EMC Legato Networker.

т.е. всё ПО для бекапов - дырявоое и самое дырявое? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "20 самых значительных уязвимостей 2007 года"  
Сообщение от Аноним on 22-Янв-08, 04:45 
Ага, дырявое-предырявое. Ещё и работает отстойно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "20 самых значительных уязвимостей 2007 года"  
Сообщение от ximaera email on 22-Янв-08, 08:15 
Ну, положим, rsync я в списке не нашёл =)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "20 самых значительных уязвимостей 2007 года"  
Сообщение от gopa email on 22-Янв-08, 14:25 
IBM Tivoli Storage Manager рулит
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "20 самых значительных уязвимостей 2007 года"  
Сообщение от goshanecr email(ok) on 21-Янв-08, 20:41 
Opera - Единственно возможный браузер!
DrWEB - Гордость отечественного ПО!
:)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "В Опере 14 уязвимостей в 2007м году"  
Сообщение от Андрей email(??) on 22-Янв-08, 13:02 
http://www.xakep.ru/vulnerability/Opera/

Безопасных браузеров не бывает ;) Разве что lynx какой-нибудь...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "В Опере 14 уязвимостей в 2007м году"  
Сообщение от darkk email on 23-Янв-08, 21:09 
Да не, как раз lynx одно время даже был исключен из какого-то дистрибутива за дырявость :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "В Опере 14 уязвимостей в 2007м году"  
Сообщение от Vladimir email(??) on 29-Янв-08, 14:06 
telnet ip.add.re.ss 80
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "20 самых значительных уязвимостей 2007 года"  
Сообщение от ami email on 21-Янв-08, 21:09 
а сколько еще не найдено уязвимостей..
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "20 самых значительных уязвимостей 2007 года"  
Сообщение от Аноним on 21-Янв-08, 23:41 
>Пароли по умолчанию во многих операционных системах и сервисах продолжают >оставаться очень слабыми, что позволяет успешно проводить атаки по словарю.

Так на то он и пароль по умолчанию, при всем желаний его не скрыть.
После публикации его в документации каким бы он не был сложным всеравно
попадет в словари.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "20 самых значительных уязвимостей 2007 года"  
Сообщение от Zeratul on 22-Янв-08, 14:54 
>После публикации его в документации каким бы он не был сложным всеравно
>
>попадет в словари.

Да в этом случае и словарь не нужен:))
Пароль и так известен.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "20 самых значительных уязвимостей 2007 года"  
Сообщение от Аноним on 23-Янв-08, 14:15 
Хрена се в одну кучу намешали:
"UNIX-ориентированные серверные службы (Samba, ProFTPD и др). 12 критически уязвимостей."

А я-то думал что samba и proftpd никак не связаны.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру