The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

04.03.2013 11:38  Анализ уязвимостей за последние 25 лет

Компания Sourcefire, известная разработкой таких свободных проектов, как Snort и ClamAV, опубликовала (PDF) результаты анализа тенденций в области выявления уязвимостей за последние 25 лет. В качестве источников для классификации уязвимостей использовалась база данных CVE (Common Vulnerabilities and Exposure), в которой накоплена информация о проблемах безопасности начиная с 1988 года, а также сведения об уязвимостях из базы NVD (National Vulnerability Database), поддерживаемой Национальным институтом стандартов и технологий США (NIST).

Пик выявления уязвимостей пришёлся на 2006 и 2007 годы, после чего до 2011 года наблюдался спад, но в 2012 году вновь обнаружилась тенденция роста:

При этом, если рассматривать только опасные уязвимости, то в 2012 году продолжает наблюдаться спад и видно, что прирост в основном связан с выявлением неопасных проблем безопасности:

Также в последние несколько лет наблюдается уменьшение числа опасных уязвимостей в процентном отношении от общего числа проблем с безопасностью:

При разборе уязвимостей, которым присвоен критический уровень опасности, 35% таких уязвимостей вызваны переполнением буфера, 8% - некорректной организацией управления доступом и 6% недостаточной проверкой корректности входных данных:

Из общего числа уязвимостей лидируют проблемы, позволяющие осуществить подстановку кода HTML/JavaScript на страницы (Cross-Site Scripting, XSS), но среди проблем с высоким уровнем опасности XSS-уязвимости почти не встречаются. При выборке трех самых распространённых уязвимостей года, XSS входит в число таких проблем с 2005 года. По числу уязвимостей также лидируют проблемы, связанные с переполнением буфера и подстановкой SQL-кода. Тем не менее, в 2012 году наблюдается выход в число лидеров проблем, связанных с обходом ограничений доступа, а в 2011 году уязвимостей из-за недостаточной проверки входных данных.

При рассмотрении распределения интенсивности выявления всех уязвимостей по отдельным продуктам, отмечено, что больше всего уязвимостей найдено в ядре Linux. В абсолютных показателях по числу уязимостей лидируют Windows и Mac OS X, но данные системы представлены в отчёте с разбивкой по типам и версиям продуктов (например, вместо одной системы Mac OS X было упомянуто три продукта, а число редакций Windows составило 13).

Если рассматривать только опасные уязвимости, то ядро Linux даже не вошло в десятку лидеров:

При оценке критических проблем лидируют браузеры, Java и Flash:

При суммировании данных по типам продуктов, исключив мобильные платформы, для Windows зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для Linux - 1752 (были учтены уникальные CVE, в которых упомянуты такие дистрибутивы, как Ubuntu и RHEL). С учетом обилия поставляемого в дистрибутивах Linux программного обеспечения, в то время как в Windows и Mac OS X пользователю предлагается почти голая операционная система, лидерство Linux-продуктов по числу уязвимостей не вызывает удивления.

Список вендоров, в продуктах которых чаще всего находят уязвимости:



  1. Главная ссылка к новости (http://www.itwire.com/business...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.4, Константавр, 13:04, 04/03/2013 [ответить] [смотреть все]
  • +2 +/
    Просмотрел PDF и не понял, из чего автор новости сделал заключение в последнем абзаце? Или это где-то ещё упоминается? В графиках по уязвимостям в пдфке упоминается ядро отдельно и в одном графике рассматриваются дистрибутивы, а Вы откуда взяли этот список -"для Windows будет зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для Linux - 1752"?

    А на счёт графиков уязвимостей - на странице 25 (в пдфке) в графике критических уязвимостей вдруг исчезают все продукты Microsoft, это как? У них критических уязвимостей нет или информация не распространяется? Зайти на секюрлаб - так там каждую неделю по критической уязвимости, то в интернет эксплорере, то в других продуктах

     
     
  • 2.7, Аноним, 13:15, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    По ссылке в выводах написано If we account for unique CVEs for every possible v... весь текст скрыт [показать] [показать ветку]
     
  • 1.10, pavlinux, 13:18, 04/03/2013 [ответить] [смотреть все]  
  • +28 +/
    > В абсолютных показателях по числу уязимостей лидируют Windows и Mac OS X

    Хоть где-то Microsoft ПЕРВЫЕ.
    Я думал всё, пипец, пропадает фирма, ан-не, смотри-ка, даже лидируют.
      :D

     
     
  • 2.20, Аноным, 13:50, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Ну да, 95 всех домашних юзверей и огромное число организаций на Виндусе, совсем... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, ВовкаОсиист, 14:24, 04/03/2013 [^] [ответить] [смотреть все]  
  • +8 +/
    Угу, большинство которых насилует труп хрюши.
     
     
  • 4.25, anonymous, 14:27, 04/03/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Зоонекрофилия какая-то 8230 Хоть не педофилия, и то ладно ... весь текст скрыт [показать]
     
     
  • 5.32, ананим, 14:52, 04/03/2013 [^] [ответить] [смотреть все]  
  • +5 +/
    важно другое 8212 мс те деньги то уже съела и забыла как они пахнут а получа... весь текст скрыт [показать]
     
  • 5.50, Аноним, 17:02, 04/03/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Хрюша поросенок
     
  • 4.44, qux, 15:44, 04/03/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Откуда инфа? По миру у ХР уже меньше четверти.
     
     
  • 5.46, ананим, 15:47, 04/03/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    там вон в вальве виста прыгнула вверх по последним отчётам а какая разница за ч... весь текст скрыт [показать]
     
     
  • 6.59, qux, 18:39, 04/03/2013 [^] [ответить] [смотреть все]  
  • +/
    Кстати да, я не по цифрам Valve смотрел, а у них ХР вообще 10 Логично, учиты... весь текст скрыт [показать]
     
  • 5.75, TbIK, 23:03, 04/03/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Сомнительно Дело в том, что есть куча старого железа, которое ещё чертыхается и... весь текст скрыт [показать]
     
     
  • 6.86, qux, 14:07, 05/03/2013 [^] [ответить] [смотреть все]  
  • +/
    Это уже область гаданий, на каких системах доступа в интернет меньше ХР эту зад... весь текст скрыт [показать]
     
  • 2.30, ананим, 14:50, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Зато санки наконец менее уязвимы, чем линух.
     
     
  • 3.34, Аноним, 15:20, 04/03/2013 [^] [ответить] [смотреть все]  
  • +/
    Всегда так было Удивлен Ты вообще-то в глаза Солярис хоть раз видал, не в теле... весь текст скрыт [показать]
     
     
  • 4.41, ананим, 15:37, 04/03/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    15 лет админил ps ты график то смотри, саночник смотрящий бобслеем теперь з... весь текст скрыт [показать]
     
     
  • 5.45, ананим, 15:44, 04/03/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    pps http download oracle com sunalerts 1000299 1 html в 2007 Solaris 10 от пин... весь текст скрыт [показать]
     
  • 5.77, Михрютка, 23:18, 04/03/2013 [^] [ответить] [смотреть все]  
  • +/
    бум случился не на открытие , а немного раньше когда санфайры на оптеронах в н... весь текст скрыт [показать]
     
     
  • 6.85, ананим, 12:58, 05/03/2013 [^] [ответить] [смотреть все]  
  • +/
    Более того, и уязвимостей у неё больше Это я к тому, что и санки также 8212 ... весь текст скрыт [показать]
     
     
  • 7.87, Михрютка, 15:02, 05/03/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну правильно, Петька, я же старше С ... весь текст скрыт [показать]
     
  • 4.51, Sergey722, 17:17, 04/03/2013 [^] [ответить] [смотреть все]  
  • +/
    А Солярис теперь ставят и на телевизоры, ух ты ... весь текст скрыт [показать]
     
  • 2.70, Аноним, 22:20, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Предлагаю им срочно выпустить Get The Facts с описанием лидирующего положения в ... весь текст скрыт [показать] [показать ветку]
     
  • 1.11, тоже Аноним, 13:23, 04/03/2013 [ответить] [смотреть все]  
  • +1 +/
    Занимательная геометрия: смотрим последний "тортик" и визуально сравниваем размеры сегментов MS, Apple и IBM. А потом смотрим на цифры.
    Зато 3D, все дела...
     
     
  • 2.14, Ч, 13:27, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А что не так?
     
     
  • 3.21, тоже Аноним, 14:15, 04/03/2013 [^] [ответить] [смотреть все]  
  • +6 +/
    Площадь сегмента MS на экране практически равна площади сегмента IBM. При различии в цифрах вдвое. Наклон и перспектива искажают визуальное восприятие, что для статистики недопустимо.
    Так делают только в отчетах, где статистику "припудривают". В данном случае вряд ли добивались такого эффекта, просто не подумали головой.
     
     
  • 4.33, Аноним, 15:14, 04/03/2013 [^] [ответить] [смотреть все]  
  • +/
    Какое почти Угол между гранями у MS в два раза больше, чем у IBM, поэтому се... весь текст скрыт [показать]
     
     
  • 5.40, тоже Аноним, 15:35, 04/03/2013 [^] [ответить] [смотреть все]  
  • +/
    Повторяю НА ЭКРАНЕ Попробуйте открыть эту картинку в графическом редакторе и н... весь текст скрыт [показать]
     
  • 5.53, Sergey722, 17:25, 04/03/2013 [^] [ответить] [смотреть все]  
  • +/
    Он прав Сложите два сектора IBM Oracle получившиеся цифры примерно как у МС ... весь текст скрыт [показать]
     
     
  • 6.56, тоже Аноним, 18:16, 04/03/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    А толстый слой 3D визуально увеличивает три ближайших сектора еще раза в полтора... весь текст скрыт [показать]
     
  • 1.12, Аноним, 13:26, 04/03/2013 [ответить] [смотреть все]  
  • +/
    По сути какой-то практический смысл имеет только последний график Остальное - т... весь текст скрыт [показать]
     
  • 1.13, Аноним, 13:26, 04/03/2013 [ответить] [смотреть все]  
  • –4 +/
    Клевета на Linux с целью продвижения проприетарного треша Кто-то кому-то отстег... весь текст скрыт [показать]
     
     
  • 2.15, Аноним, 13:36, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Тогда данные о проприетарных продуктах бы не предоставляли Что прикольно-нету B... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Анонимовец, 13:44, 04/03/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Болезни разве изучают по трупам?
     
     
  • 4.19, исчо_адын_аноним, 13:49, 04/03/2013 [^] [ответить] [смотреть все]  
  • +13 +/
    > Болезни разве изучают по трупам?

    Паталогоанотомия - самая точная и развитая облать медицины. Ваш К.О

     
  • 3.65, AlexAT, 20:34, 04/03/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Неуловимый Джо :)
     
  • 2.60, XoRe, 18:52, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вообще-то Linux в отчете смотрится очень хорошо ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.67, Аноним, 20:59, 04/03/2013 [^] [ответить] [смотреть все]  
  • +3 +/
    Windows в отчете смотрится недостаточно плохо.
     
  • 1.18, Oleg, 13:45, 04/03/2013 [ответить] [смотреть все]  
  • +1 +/
    Ну что, этого и следовало ожидать - превращение программирования в ремесло, при помощи различных сред разработки типа Delphi и Builder радикально сократило количество квалифицированных программистов и увеличило число колхозников - с подходом чтобы работало. А как результат - сплошь дыры в софте.
     
     
  • 2.26, anonymous, 14:30, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А среды-то, померли ... весь текст скрыт [показать] [показать ветку]
     
  • 2.28, Аноним, 14:39, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ты простым и понятным языком выразил то, о чем я давно думал Ты прав, понаки... весь текст скрыт [показать] [показать ветку]
     
  • 2.76, angra, 23:12, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А слона(тенденцию к снижению количества уязвимостей) то ты и не приметил
     
  • 1.22, ананим, 14:22, 04/03/2013 [ответить] [смотреть все]  
  • +/
    > Пик выявления уязвимостей пришёлся на 2006 и 2007 годы, после чего до 2011 года наблюдался спад, но в 2012 году 

    Экономический кризис, чО.
    Промышленный шпионаж был недофинансирован.

     
     
  • 2.61, XoRe, 18:54, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В 2006-2007 вышла виста В 2011-2012 вышла семерка ... весь текст скрыт [показать] [показать ветку]
     
  • 1.24, Аноним, 14:24, 04/03/2013 [ответить] [смотреть все]  
  • +/
    Надмозговые переводы на опеннете Таких унылых отмаз я еще не слышал ... весь текст скрыт [показать]
     
     
  • 2.29, ананим, 14:45, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    да, перевод как-то винду с маком выгораживает чтоб им не так тосклимво было пе... весь текст скрыт [показать] [показать ветку]
     
  • 2.68, Аноним, 21:00, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Кушать-то всем хочется ... весь текст скрыт [показать] [показать ветку]
     
  • 1.27, Аноним, 14:37, 04/03/2013 [ответить] [смотреть все]  
  • +/
    Написано-же: анализ за 25(!) лет. 25 лет назад и линукса-то не было :D
     
     
  • 2.35, ананим, 15:21, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    можно подумать windows до версии 3 0 существовала по крайней мере в отчётах по ... весь текст скрыт [показать] [показать ветку]
     
  • 1.31, lucentcode, 14:50, 04/03/2013 [ответить] [смотреть все]  
  • +/
    Надо же, как я и подозревал, в Microsoft пишут самое кривое ПО. Видно они нанимают индусов-аутсорсеров.
     
  • 1.38, Аноним, 15:32, 04/03/2013 [ответить] [смотреть все]  
  • +/
    отличное!
     
  • 1.42, Аноним, 15:42, 04/03/2013 [ответить] [смотреть все]  
  • +/
    Если сложить результаты Oracle и Sun, то они уже вплотную догнали Microsoft))
     
     
  • 2.57, Аноним, 18:18, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Ошибка ошибке рознь Из Oracle Linux я смело выйду в Интернет и зайду на любой с... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.94, Вован4ег, 09:24, 06/03/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    на счёт инетбанкинга - более всего позабавило недавно явленице есть у нас в г... весь текст скрыт [показать]
     
  • 3.96, ОГого, 20:26, 06/03/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    у меня на виртуалбоксе есть ХР-ка, которой я выхожу в интернет через 3Ж модем уж... весь текст скрыт [показать]
     
     
  • 4.98, Аноним, 01:12, 09/03/2013 [^] [ответить] [смотреть все]  
  • +/
    Поскань её чтоль)
     
  • 1.52, etw, 17:23, 04/03/2013 [ответить] [смотреть все]  
  • +/
    Рост некритичных уязвимостей связан с ростом интернет-сервисов, писаных стартаперами в спешке левым мизинцем ноги. Критические дыры в веб-сервисах, которые могут привести к эскалации привилегий, в принципе, сложно оставить, потому они в опасные не попадают.
     
     
  • 2.58, Аноним, 18:23, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Так какого хрена их к Linux-то плюсуют Ты хочешь сказать, что тупо поставленный... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.88, etw, 19:04, 05/03/2013 [^] [ответить] [смотреть все]  
  • +/
    Я про интернет-приложения говорю, а не про инфраструктурное ПО Если есть дыра в... весь текст скрыт [показать]
     
  • 1.54, Buy, 17:28, 04/03/2013 [ответить] [смотреть все]  
  • +2 +/
    > При суммировании данных по типам продуктов, исключив мобильные платформы, для Windows зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для Linux - 1752

    То есть худшие что ли? Так об этом и напишут.

    > С учетом обилия поставляемого в дистрибутивах Linux программного обеспечения

    Тогда зачем сравнивать мягкое и теплое?

     
     
  • 2.55, Аноним, 18:07, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    1 Если в ошибках Linux учтены без разбора и ошибки всех прикладных пакетов, то ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.73, Аноним, 23:01, 04/03/2013 [^] [ответить] [смотреть все]  
  • +/
    Тем не менее, даже с такой гирей на ноге линукс неплохо себя показал Особенно в... весь текст скрыт [показать]
     
  • 1.62, vle, 18:58, 04/03/2013 [ответить] [смотреть все]  
  • +1 +/
    Ежели кому интересно, вот тут немного о том,
    как бороться с супостатом.

    http://mova.org/~cheusov/pub/lvee/winter-2012/lvee-winter-2012.pdf

     
  • 1.71, Аноним, 22:28, 04/03/2013 [ответить] [смотреть все]  
  • +2 +/
    Возьмем масдай 98, возьмем отладчик SoftICE масдай утверждал, что вынь 98 - 32-... весь текст скрыт [показать]
     
     
  • 2.72, тоже Аноним, 22:47, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    Во-первых, 98 и не был системой.
    Это была графическая оболочка над системой... седьмым ДОСом, собственно.
    Впрочем, другие ваши тезисы оспаривать не приходится.
     
     
  • 3.79, Crazy Alex, 23:59, 04/03/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Что за бред? Вы с 3.11 не попутали?
     
     
  • 4.80, Michael Shigorin, 01:02, 05/03/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    То была вообще DOS-программа, а это -- сверху дос, снизу дос, посредине VMM и... весь текст скрыт [показать]
     
  • 4.90, Аноним, 22:10, 05/03/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Сам ковырял 98-ю, ядро - 16-ТИ БИТНОЕ !!! (SoftICE-ом)
     
     
  • 5.93, AlexAT, 07:24, 06/03/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Там два ядра KRNL386 EXE - для совместимости оно да - работает в реальном режи... весь текст скрыт [показать]
     
  • 2.74, Аноним, 23:02, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Там было адское месиво из 16 и 32-битного кода ... весь текст скрыт [показать] [показать ветку]
     
  • 2.78, angra, 23:23, 04/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Пользуясь твоей дурацкой логикой 64-х битный линукс, в который поставлена хоть о... весь текст скрыт [показать] [показать ветку]
     
  • 2.83, AlexAT, 07:22, 05/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Верить только себе - начиная с Win 3 11, родной софт исполнялся в 32-bit protect... весь текст скрыт [показать] [показать ветку]
     
  • 1.91, Аноним, 23:23, 05/03/2013 [ответить] [смотреть все]  
  • +/
    г ... весь текст скрыт [показать]
     
     
  • 2.92, AlexAT, 07:23, 06/03/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    KRNL386 EXE GDI EXE, USER EXE - это 80 2 86-ядро для совместимости со старыми ... весь текст скрыт [показать] [показать ветку]
     
  • 1.97, Аноним, 20:44, 06/03/2013 [ответить] [смотреть все]  
  • –1 +/
    так правда ie по уязвимостям меньше хрома и фаерфокса)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor