Уязвимость обозревателей. Доклад Ларри Зельтцера

среда, 12 ноября 2014 г.

Common Vulnerabilities and Exposures – Общие Уязвимости и Риски

«Обновления. Я посчитал число уязвимостей и ошибок обозревателей до этого годa», Ларри Зельтцер (Larry Seltser), корреспондент западноевропейского цифрового издания ZDNet.

Internet Explorer - обозреватель корпорации Microsoft

Ларри Зельтцер: «В 2014 году Microsoft было зафиксировано 215 уязвимостей в обозревателе Internet Explorer. Обновления безопасности для IE в 2014 году поступали ежемесячно, исключением оказался месяц январь. Плохо ли это? Число 215, перебор ли это? Это не понятно, но ясно, что количество, частота и вес обновлений возросли. Если это новшество, то это нормально. Представлю некоторые исходные данные из контекста: «147 из 215 багов в этом году (68,37 процентов) приходятся на Internet Explorer 11 ОС Windows 8.1»

Одна из шаблонных фраз любого доброго разговора по вопросу о безопасности это: «Всегда устанавливайте последние обновления, чтобы улучшить безопасность и производительность компьютера. Они имеют меньше уязвимостей, в отличие от предыдущих версий, их бреши отвечают меньшей угрозой безопасности»

Что же, если это правда, то по какой-то невидимой причине 2014 год оказывается более чем печальным, нежели предыдущий 2013 год и тогда общее число зафиксированных уязвимостей было 116, 62 из которых были оценены как критические (53,45 процентов)»

Обозреватели Google и Firefox

«Вы могли бы спросить: «Какова ситуация с другими обозревателями?» Для меня Firefox не представляет особой значимости. С Google Chrome картина представляется совершенно туманной.

С одной стороны, за релизами Chrome следит персональный блог компании Google, и в этом году он представил 415 уязвимостей, зафиксированных в «Стабильном Канале Обновлений» (Stable Channel Update). 159 обновлений поступило 7 октября – это была последняя версия обозревателя Google Chrome, версия 38.0.2152.101. Более подробно рассказать об уязвимостях в Chrome я не могу. С другой стороны, Google почти никогда не предоставляет общественности незначительные детали об ошибках и багах, не говоря даже о самых значимых из них. Доклад на 7 октября лучший для этого пример. Доклад содержит 12 CVE (Common Vulnerabilities and Exposures – Общие Уязвимости и Риски). И это только 12 из 159 уязвимостей. Если вы воспользуетесь гиперрсылкой «159 исправлений безопасности» (159 security fixes) в блоге Chrome Releases, то перед вами откроется возможность ознакомиться с информационной базой данных, включающей в себя CVE-сы, но информация о них окажется не полной, а их число не будет кратным 159-ти, по крайней мере, так было в моём случае. Кстати, я обращался в Microsoft и Google по поводу истории о раскрытии конфиденциальных данных. В Microsoft отказались комментировать и отвечать на мои вопросы, а Google и вовсе не ответила[1]», - Ларри Зельтцер.

По материалам: ChromeReleases; ZDNet.

Автор статьи (русскоязычная версия): Рон Милдарт.


[1]Отсутствие подробностей в отчётах как корпорации Google, так и корпорации Microsoft объясняется тем, что компании, которые занимаются поиском брешей в различной продукции (вышеуказанных и иных корпораций и компаний) заключают соглашение с ними. В соглашении существует пункт политики о неразглашении результатов деятельности компаний, занимающихся поиском уязвимостей. Это в свою очередь и накладывает запрет на разглашение более значимых или не значимых CVE-сов. Такого же положения придерживаются корпорации и компании, когда публикуют отчёты и ошибки.
 

Программное Обеспечение

Поиск по вэб-сайту