The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

11.11.2009 11:29  Анализ уязвимостей за 6 месяцев. Firefox обогнал конкурентов по числу уязвимостей

Компания Cenzic, специализирующаяся в области повышения безопасности web-технологий, представила аналитический отчет (PDF, 900 Кб), в котором обобщены данные об обнаруженных в первой половине 2009 года уязвимостях и зафиксированных атаках злоумышленников. В качестве источников данных использовались сообщения об уязвимостях, публикуемые такими службами, как Mitre, OWASP, SANS, Secunia, Security Tracker, ClickToSecure, Symantec и US-CERT.

Один из основных тезисов отчета - преобладание числа обнаруженных уязвимостей в Firefox, по сравнению с другими web-браузерами: на Firefox приходится 44% всех найденных в web-браузерах за первое полугодие уязвимостей, Safari - 35%, Internet Explorer - 15% и Opera - 6%. Следует заметить, что при этом учтено лишь общее число уязвимостей, без их разделения по степени опасности. Кроме того, открытые исходные тексты Firefox способствуют проведению усиленного аудита, поэтому вместо утверждения о том, что Firefox наиболее уязвим можно говорить о том, что в Firefox наиболее активно выявляются и устраняются ошибки (многие уязвимости Firefox найдены его непосредственными разработчиками) и при этом обеспечивается минимальное время реагирования при обнаружении уязвимостей. Более того, нахождение уязвимостей в Firefox значительно упрощает открытость системы трекинга ошибок, в котором как на ладони видны точки в которых следует искать проблемы.

Другие интересные тенденции, наблюдаемые в отчете:

  • За первое полугодие зафиксировано 3100 уязвимостей, что на 10% больше, чем во втором полугодии 2008 года;
  • Наибольшее число опубликованных эксплоитов использовало для поражения приложений ошибки, дающие возможность подстановки SQL кода (25%), осуществления XSS-атак через подстановку JavaScript блоков (17%), обхода механизмов аутентификации (14%), переполнения буфера (12%);
  • 78% из найденных уязвимостей связаны с web-технологиями, т.е. зафиксированы в web-серверах, web-приложениях, web-браузерах и дополнениях к ним. По сравнению с прошлым годом, наблюдается тенденция роста числа уязвимостей в связанных с web приложениях, по отношению к числу уязвимостей в обычных серверных или десктоп-приложениях. В первом квартале 2008 года этот показатель составлял 70%.
  • В десятку продуктов, в которых зафиксированы самые опасные уязвимости, вошли: phpMyAdmin, SAP cFolders, Sun Java, Citrix Web Interface, Apache Tomcat, IBM Tivoli, Symantec. Интересно, что в резюме к отчету упоминаются не phpMyAdmin и Apache Tomcat, а PHP и Apache, что существенно искажает картину.


  1. Главная ссылка к новости (http://www.cenzic.com/pr_20091...)
  2. OpenNews: На первом дне соревнований Pwn2Own были взломаны Safari, IE и Firefox
  3. OpenNews: Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но исправляют их быстрее
  4. OpenNews: На конференции Black Hat будет представлено многоплатформенное троянское ПО, поражающее Firefox
  5. OpenNews: Symantec о безопасности web-браузеров
  6. OpenNews: Анализ эффективности различных методов обновления web-браузеров
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: web, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Lindemidux, 11:52, 11/11/2009 [ответить] [смотреть все]
  • +/
    Круто. Только firefox открытый и багтрекер у него открытый.
     
     
  • 2.5, dq0s4y71, 12:30, 11/11/2009 [^] [ответить] [смотреть все] [показать ветку]
  • –3 +/
    Ну, кому-то это конечно согреет душу ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, User294, 16:25, 11/11/2009 [^] [ответить] [смотреть все]  
  • +3 +/
    Скорее, согреет ее тот факт что дыры патчат достаточно оперативно - до того как ... весь текст скрыт [показать]
     
  • 3.27, Анон, 18:22, 11/11/2009 [^] [ответить] [смотреть все]  
  • +/
    И что В ядре Linux ежедневно отыскивают мелкие дыры, ежемесячно критические, те... весь текст скрыт [показать]
     
  • 3.17, Аноним, 13:54, 11/11/2009 [^] [ответить] [смотреть все]  
  • +3 +/
    Дак критиковать то все могут Ты хотя бы простейший парсер HTML напиши, потом ... весь текст скрыт [показать]
     
     
  • 4.28, Анон, 18:23, 11/11/2009 [^] [ответить] [смотреть все]  
  • +/
    Писали, тяжко блин стоит что-то одно поменять и посыпались костыли к чертям с... весь текст скрыт [показать]
     
  • 1.2, Сергей, 12:06, 11/11/2009 [ответить] [смотреть все]  
  • +1 +/
    Отчет явно заказной...
    Я в реалии вижу другое, чем более популярнее продукт, тем больше дыр в нем которые можно реально использовать. и это даже не зависит от производителя софта.
    Так что клеймо дырявости Microsoft может смыть только перестав быть монополистом.
    А Firefox респект (ну должен же быть распространенный браузер, чтобы тетушки не переспрашивали о назначении кнопкам).

     
     
  • 2.4, dq0s4y71, 12:29, 11/11/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да В таком случае ИЕ должен был быть в этом отчете на первом месте Я вообще-то... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, pentarh, 13:02, 11/11/2009 [^] [ответить] [смотреть все]  
  • +2 +/
    Не надо забывать что ишак уже прошел свой бум уязвимостей в 2003-2007 годах Ско... весь текст скрыт [показать]
     
  • 3.20, User294, 16:40, 11/11/2009 [^] [ответить] [смотреть все]  
  • +/
    А ты сперва сам огроменные блобы дизасмом поколупай, а потом будешь трындеть на ... весь текст скрыт [показать]
     
  • 3.26, Карбофос, 17:53, 11/11/2009 [^] [ответить] [смотреть все]  
  • +1 +/
    в принципе, тенденция должна быть пропорциональной чем больше популярность, тем... весь текст скрыт [показать]
     
  • 3.33, gepeBo, 11:30, 12/11/2009 [^] [ответить] [смотреть все]  
  • +1 +/
    количество уязвимостей зависит от качаства, а количества _найденных_ уязвимостей... весь текст скрыт [показать]
     
  • 3.36, asdasd, 00:49, 14/11/2009 [^] [ответить] [смотреть все]  
  • +/
    чтото тебе больно много в голову наsRали заказные-пиар-новости об популярности I... весь текст скрыт [показать]
     
     
  • 4.38, Dvorkin, 14:40, 14/11/2009 [^] [ответить] [смотреть все]  
  • +/
    по моим данным все-таки на 3 выше чем у FF и с каждым месяцем падает на 1 2-1 ... весь текст скрыт [показать]
     
  • 3.37, Dvorkin, 14:33, 14/11/2009 [^] [ответить] [смотреть все]  
  • +/
    покажут сорцы - и ишак вообще исчезнет как класс.
    не передергивайте
     
  • 2.15, Аноним, 13:36, 11/11/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Конечно-конечно D Был бы в этом отчете фаерфокс самым безопасным - этому отчету... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, Аноним Я, 12:26, 11/11/2009 [ответить] [смотреть все]  
  • +/
    популярность растет - начинают трояны затачивать под фаерфокс,
    в общем.. надо валить! (с)
    ))
     
     
  • 2.6, operaman, 12:33, 11/11/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >в общем.. надо валить!

    не промахнитесь

     
     
  • 3.7, lattenwald, 12:51, 11/11/2009 [^] [ответить] [смотреть все]  
  • –11 +/
    Промахнуться сложно встал спиной к FF, прицелился в сторону от IE и попал в нор... весь текст скрыт [показать]
     
     
  • 4.32, upyx, 10:48, 12/11/2009 [^] [ответить] [смотреть все]  
  • +/
    Internet Explorer - это такая программа, с помощью которой можно выйти в интерне... весь текст скрыт [показать]
     
  • 3.8, lattenwald, 12:51, 11/11/2009 [^] [ответить] [смотреть все]  
  • –4 +/
    лишний мессидж, извините
     
     
  • 4.23, User294, 16:48, 11/11/2009 [^] [ответить] [смотреть все]  
  • +/
    Видимо, у нормального браузера имеются какие-то проблемы с постингом сообщений... весь текст скрыт [показать]
     
  • 2.9, 444, 13:01, 11/11/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    ms для вас специально отчёт делает )), завтра бабло попросит )
     
  • 1.11, Аноним, 13:02, 11/11/2009 [ответить] [смотреть все]  
  • +2 +/
    О скорости заделывания найденных дырок отчёт наверняка умалчивает Да и если дыр... весь текст скрыт [показать]
     
     
  • 2.12, kapany3, 13:07, 11/11/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    вот-вот написали бы, сколько суммарно по времени браузеры были уязвимы, не имея ... весь текст скрыт [показать] [показать ветку]
     
  • 2.29, User294, 18:58, 11/11/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Просто считать можно по разному И в одних и тех же фактах можно увидеть разные ... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, Knuckles, 13:30, 11/11/2009 [ответить] [смотреть все]  
  • +4 +/
    Мельком просмотрел исходный отчет в pdf. На половине страницы расположен пайчарт количества уязвимостей и то же написано словами. Ни одной ссылки на список уязвимостей. Вот такой вот "отчет".
     
  • 1.16, mma, 13:51, 11/11/2009 [ответить] [смотреть все]  
  • +1 +/
    Важно не то сколько нашли а сколько исправили и сколько осталось еще не исправленных.
     
     
  • 2.30, User294, 19:03, 11/11/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Важно в конечном итоге - насколько юзеров имеют, какие шансы что вас поимеют и к... весь текст скрыт [показать] [показать ветку]
     
  • 1.18, Chinese, 14:20, 11/11/2009 [ответить] [смотреть все]  
  • +7 +/
    "Уровень преступности в стране определяется не количеством воров, а способностью правоохранительных органов их обезвреживать" (c) Жеглов Г.Е.
     
  • 1.24, Денис, 17:30, 11/11/2009 [ответить] [смотреть все]  
  • +/
    Почемуто мне кажется, что данная статистика также применима и в контексте того, кто и сколько работает над своим браузером. Посему все же лисиным девелоперам плюсеГ.
     
  • 1.34, upyx, 13:36, 12/11/2009 [ответить] [смотреть все]  
  • +/
    >Следует заметить, что при этом учтено лишь общее число уязвимостей, без их разделения по степени опасности.

    http://www.microsoft.com/technet/security/bulletin/ms09-034.mspx
    Component - Windows Internet Explorer 8
    Maximum Security Impact - Remote Code Execution
    Aggregate Severity Rating - *Moderate*

    Против
    https://bugzilla.mozilla.org/buglist.cgi?quicksearch=ALL%20status1.9.1�
    cri P1 All jdaggett@mozilla.com VERI FIXE startup crash

     
  • 1.40, Ras, 11:51, 15/11/2009 [ответить] [смотреть все]  
  • +/
    >Кроме того, открытые исходные тексты Firefox способствуют проведению усиленного аудита, поэтому вместо утверждения о том, что Firefox наиболее уязвим можно говорить о том, что в Firefox наиболее активно выявляются и устраняются ошибки (многие уязвимости Firefox найдены его непосредственными разработчиками) и при этом обеспечивается минимальное время реагирования при обнаружении уязвимостей.

    Вот это кстати довольно важно... В случае с фаерфоксом мы знаем обо всех уязвимостях найденных разработчиками, а разрабы оперы или ИЕ могут банально скрывать найденные уязвимости, просто исправляя их. ИМХО все эти проценты это типичный сферический конь в вакууме.


     
  • 1.41, Аноним, 11:12, 16/11/2009 [ответить] [смотреть все]  
  • +/
    Интересно, почему кривые ручки разработчегов приписывают к уязвимостям мозиллы, ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor