The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Анализ уязвимостей за 6 месяцев. Firefox обогнал конкурентов по числу уязвимостей

11.11.2009 11:29

Компания Cenzic, специализирующаяся в области повышения безопасности web-технологий, представила аналитический отчет (PDF, 900 Кб), в котором обобщены данные об обнаруженных в первой половине 2009 года уязвимостях и зафиксированных атаках злоумышленников. В качестве источников данных использовались сообщения об уязвимостях, публикуемые такими службами, как Mitre, OWASP, SANS, Secunia, Security Tracker, ClickToSecure, Symantec и US-CERT.

Один из основных тезисов отчета - преобладание числа обнаруженных уязвимостей в Firefox, по сравнению с другими web-браузерами: на Firefox приходится 44% всех найденных в web-браузерах за первое полугодие уязвимостей, Safari - 35%, Internet Explorer - 15% и Opera - 6%. Следует заметить, что при этом учтено лишь общее число уязвимостей, без их разделения по степени опасности. Кроме того, открытые исходные тексты Firefox способствуют проведению усиленного аудита, поэтому вместо утверждения о том, что Firefox наиболее уязвим можно говорить о том, что в Firefox наиболее активно выявляются и устраняются ошибки (многие уязвимости Firefox найдены его непосредственными разработчиками) и при этом обеспечивается минимальное время реагирования при обнаружении уязвимостей. Более того, нахождение уязвимостей в Firefox значительно упрощает открытость системы трекинга ошибок, в котором как на ладони видны точки в которых следует искать проблемы.

Другие интересные тенденции, наблюдаемые в отчете:

  • За первое полугодие зафиксировано 3100 уязвимостей, что на 10% больше, чем во втором полугодии 2008 года;
  • Наибольшее число опубликованных эксплоитов использовало для поражения приложений ошибки, дающие возможность подстановки SQL кода (25%), осуществления XSS-атак через подстановку JavaScript блоков (17%), обхода механизмов аутентификации (14%), переполнения буфера (12%);
  • 78% из найденных уязвимостей связаны с web-технологиями, т.е. зафиксированы в web-серверах, web-приложениях, web-браузерах и дополнениях к ним. По сравнению с прошлым годом, наблюдается тенденция роста числа уязвимостей в связанных с web приложениях, по отношению к числу уязвимостей в обычных серверных или десктоп-приложениях. В первом квартале 2008 года этот показатель составлял 70%.
  • В десятку продуктов, в которых зафиксированы самые опасные уязвимости, вошли: phpMyAdmin, SAP cFolders, Sun Java, Citrix Web Interface, Apache Tomcat, IBM Tivoli, Symantec. Интересно, что в резюме к отчету упоминаются не phpMyAdmin и Apache Tomcat, а PHP и Apache, что существенно искажает картину.


  1. Главная ссылка к новости (http://www.cenzic.com/pr_20091...)
  2. OpenNews: На первом дне соревнований Pwn2Own были взломаны Safari, IE и Firefox
  3. OpenNews: Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но исправляют их быстрее
  4. OpenNews: На конференции Black Hat будет представлено многоплатформенное троянское ПО, поражающее Firefox
  5. OpenNews: Symantec о безопасности web-браузеров
  6. OpenNews: Анализ эффективности различных методов обновления web-браузеров
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/24208-web
Ключевые слова: web, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Lindemidux (??), 11:52, 11/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Круто. Только firefox открытый и багтрекер у него открытый.
     
     
  • 2.5, dq0s4y71 (??), 12:30, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >Круто. Только firefox открытый и багтрекер у него открытый.

    Ну, кому-то это конечно согреет душу... :)

     
     
  • 3.19, User294 (ok), 16:25, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Скорее, согреет ее тот факт что дыры патчат достаточно оперативно - до того как начнется массовое поимение через известные дыры.
     
  • 3.27, Анон (?), 18:22, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    И что? В ядре Linux ежедневно отыскивают мелкие дыры, ежемесячно критические, тем не менее массового поимения серверов никто еще не видел и сомневаюсь что увидят, а условия существования абсолютно те же.

    Да однажды хакнули сервера Apache, тем не менее они сами признались, что все произошло по причине банального раздолбайства и неаккуратной политики безопасности.

    Главная уязвимость все еще сидит не в железе и софте, а в полуметре от него, это факт.

     
  • 3.17, Аноним (-), 13:54, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Дак критиковать то все могут... Ты хотя бы простейший парсер HTML напиши, потом уже комменть чужие дыры
     
     
  • 4.28, Анон (?), 18:23, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Дак критиковать то все могут... Ты хотя бы простейший парсер HTML напиши,
    >потом уже комменть чужие дыры

    Писали, тяжко блин :) стоит что-то одно поменять и посыпались костыли к чертям собачьим )))

     

  • 1.2, Сергей (??), 12:06, 11/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Отчет явно заказной...
    Я в реалии вижу другое, чем более популярнее продукт, тем больше дыр в нем которые можно реально использовать. и это даже не зависит от производителя софта.
    Так что клеймо дырявости Microsoft может смыть только перестав быть монополистом.
    А Firefox респект (ну должен же быть распространенный браузер, чтобы тетушки не переспрашивали о назначении кнопкам).

     
     
  • 2.4, dq0s4y71 (??), 12:29, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Я в реалии вижу другое, чем более популярнее продукт, тем больше дыр в нем которые можно реально использовать.

    Да? В таком случае ИЕ должен был быть в этом отчете на первом месте. Я вообще-то думал, что количество дыр зависит не от популярности, а от _качества_ продукта.

     
     
  • 3.10, pentarh (ok), 13:02, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не надо забывать что ишак уже прошел свой бум уязвимостей в 2003-2007 годах. Сколько народу ботов и дайлеров наставили, потом еще и тулбарами завалили :) Там миллиардные прибыли крутились на эксплуатации уязвимостей ИЕ.

    А ФФ мало того что опенсорсный, так еще и растет популярность. Так что я такой новости не удивляюсь.

     
  • 3.20, User294 (ok), 16:40, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Я вообще-то думал, что количество дыр зависит не от популярности, а от _качества_
    >продукта.

    А ты сперва сам огроменные блобы дизасмом поколупай, а потом будешь трындеть на форумах, умник. Если кто тупой, намекаю: найти в огроменном блобе в горе дизасмнутого хлама без коментов что-либо - на пару порядков труднее чем в сорсе. И ведь все-равно невзирая на это находят. О каком тогда качестве речь? Это прикол такой? Или просто стандартные сказки пиар-бота?

     
  • 3.26, Карбофос (ok), 17:53, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в принципе, тенденция должна быть пропорциональной. чем больше популярность, тем больше будут искать злоумышленники. второй фактор: чем больше разных конфигураций систем, тем больше вероятность нахождения ошибок.
    причем, первый фактор - тут уж на опережение. хакеры найдут быстрее, или сообщество. нужно применять утилиты для нахождения меморилик и других ошибок.
    например, если кроме трухина никто не работает с его шедеврами в дотнет, кроме него, то и находиться ошибки будут только им самим.

    с нетерпением жду браузера, наваянного на дотнет. :)

     
  • 3.33, gepeBo (??), 11:30, 12/11/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    количество уязвимостей зависит от качаства, а количества _найденных_ уязвимостей зависит от популярности
     
  • 3.36, asdasd (?), 00:49, 14/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Да? В таком случае ИЕ должен был быть в этом отчете на первом месте.

    чтото тебе больно много в голову наsRали заказные-пиар-новости об популярности IE..

    обычно в таких новостях говориться о том что "популярность IE чуть-чуть-падает и якобы сейчас она 67% " .

    ХРЕN-ТАМ! отрой любой щётчик! популярность IE -- _УЖЕ_ ниже плинтуса


     
     
  • 4.38, Dvorkin (ok), 14:40, 14/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >ХРЕN-ТАМ! отрой любой щётчик! популярность IE -- _УЖЕ_ ниже плинтуса

    по моим данным все-таки на 3% выше чем у FF. и с каждым месяцем падает на 1.2-1.5% а у FF, соответственно прибавляется.
    конечно, это данные, где не учтена только одна веселая страна - Россия.
    с Россией у IE на 10% больше. :)
    это как с фрибизиди. в рашке его намного больше.
    не плинтус, но тенденции ясны.

     
  • 3.37, Dvorkin (ok), 14:33, 14/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    покажут сорцы - и ишак вообще исчезнет как класс.
    не передергивайте
     
  • 2.15, Аноним (-), 13:36, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Отчет явно заказной...

    Конечно-конечно :D Был бы в этом отчете фаерфокс самым безопасным - этому отчету бы дифирамбы пели ;)

    >Я в реалии вижу другое, чем более популярнее продукт, тем больше дыр в нем которые можно реально использовать. и это даже не зависит от производителя софта.

    Ну вот, фаерфокс вышел на второе место по популярности. Правда по уязвимостям уже перевыполняет план))

    >Так что клеймо дырявости Microsoft может смыть только перестав быть монополистом.

    Компании майкрософт безусловно есть большое дело до Вашего мнения. Пусть для начала кто-нибудь еще начнет делать самые популярные в мире программные продукты, потом мы посмотрим на количество уязвимостей в них. Вот файерфокс уже начал расхлебывать.

    >А Firefox респект (ну должен же быть распространенный браузер, чтобы тетушки не переспрашивали о назначении кнопкам).

    Это Вы про Оперу? ;)

     

  • 1.3, Аноним Я (?), 12:26, 11/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    популярность растет - начинают трояны затачивать под фаерфокс,
    в общем.. надо валить! (с)
    ))
     
     
  • 2.6, operaman (?), 12:33, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >в общем.. надо валить!

    не промахнитесь

     
     
  • 3.7, lattenwald (ok), 12:51, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • –11 +/
    Промахнуться сложно: встал спиной к FF, прицелился в сторону от IE и попал в нормальный браузер.
     
     
  • 4.32, upyx (ok), 10:48, 12/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Internet Explorer - это такая программа, с помощью которой можно выйти в интернет и скачать себе броузер. (с) bash.org.ru
     
  • 3.8, lattenwald (ok), 12:51, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • –4 +/
    лишний мессидж, извините
     
     
  • 4.23, User294 (ok), 16:48, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >лишний мессидж, извините

    Видимо, у "нормального браузера" имеются какие-то проблемы с постингом сообщений :D.

     
  • 2.9, 444 (??), 13:01, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ms для вас специально отчёт делает )), завтра бабло попросит )
     

  • 1.11, Аноним (-), 13:02, 11/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    О скорости заделывания найденных дырок отчёт наверняка умалчивает. Да и если дырку не нашли это ещё не значит что её нет.
     
     
  • 2.12, kapany3 (ok), 13:07, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    вот-вот
    написали бы, сколько суммарно по времени браузеры были уязвимы, не имея заплаток.
    количество заплаток значения не имеет, мозилла даже приплачивает за нахождение уязвимостей
     
  • 2.29, User294 (ok), 18:58, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >О скорости заделывания найденных дырок отчёт наверняка умалчивает. Да и если дырку
    >не нашли это ещё не значит что её нет.

    Просто считать можно по разному. И в одних и тех же фактах можно увидеть разные вещи.

    Если считать будет Трухиноподобный бот - дайте ему любые факты, а output будет:
    - MS rocks!
    - MS competitor(s) <name> suxx.
    - MS product <name> rocks!
    - Competing product(s) <name> suxx.
    - Proprietary code rocks!
    - OpenSource code suxx (*)

    (*) Хоть опенсорс и всасывает, но накрайняк BSDL нас в микрософте устроит т.к. из него можно тырить код, засунув упоминание автора куда-нибудь подальше.

     

  • 1.14, Knuckles (ok), 13:30, 11/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Мельком просмотрел исходный отчет в pdf. На половине страницы расположен пайчарт количества уязвимостей и то же написано словами. Ни одной ссылки на список уязвимостей. Вот такой вот "отчет".
     
  • 1.16, mma (?), 13:51, 11/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Важно не то сколько нашли а сколько исправили и сколько осталось еще не исправленных.
     
     
  • 2.30, User294 (ok), 19:03, 11/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Важно в конечном итоге - насколько юзеров имеют, какие шансы что вас поимеют и какие времена в течение которых есть известные незапатченные дыры (как отражение шансов на поимение).
     

  • 1.18, Chinese (??), 14:20, 11/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    "Уровень преступности в стране определяется не количеством воров, а способностью правоохранительных органов их обезвреживать" (c) Жеглов Г.Е.
     
  • 1.24, Денис (??), 17:30, 11/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почемуто мне кажется, что данная статистика также применима и в контексте того, кто и сколько работает над своим браузером. Посему все же лисиным девелоперам плюсеГ.
     
  • 1.34, upyx (ok), 13:36, 12/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Следует заметить, что при этом учтено лишь общее число уязвимостей, без их разделения по степени опасности.

    http://www.microsoft.com/technet/security/bulletin/ms09-034.mspx
    Component - Windows Internet Explorer 8
    Maximum Security Impact - Remote Code Execution
    Aggregate Severity Rating - *Moderate*

    Против
    https://bugzilla.mozilla.org/buglist.cgi?quicksearch=ALL%20status1.9.1�
    cri P1 All jdaggett@mozilla.com VERI FIXE startup crash

     
  • 1.40, Ras (?), 11:51, 15/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Кроме того, открытые исходные тексты Firefox способствуют проведению усиленного аудита, поэтому вместо утверждения о том, что Firefox наиболее уязвим можно говорить о том, что в Firefox наиболее активно выявляются и устраняются ошибки (многие уязвимости Firefox найдены его непосредственными разработчиками) и при этом обеспечивается минимальное время реагирования при обнаружении уязвимостей.

    Вот это кстати довольно важно... В случае с фаерфоксом мы знаем обо всех уязвимостях найденных разработчиками, а разрабы оперы или ИЕ могут банально скрывать найденные уязвимости, просто исправляя их. ИМХО все эти проценты это типичный сферический конь в вакууме.


     
  • 1.41, Аноним (-), 11:12, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, почему кривые ручки разработчегов приписывают к уязвимостям мозиллы, РНР и апача?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру