Отчет по уязвимостям за февраль 2012 года от Лаборатории Касперского


KasperskyLabsВ феврале 2012 года  специалистами Лаборатории Касперского было опубликовано 328  уведомлений безопасности, в которых было описано 684 уязвимости. Рассмотрим самые заметные из них и приведем несколько статистических выкладок.

Одним из таких событий является выпуск компанией Immunity эксплоита к ранее неизвестной уязвимости в популярной СУБД MySQL. Данная брешь позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Также появились исправления безопасности к пакету программ Samba, в котором была устранена уязвимость удаленного выполнения кода.


Что интересного
В феврале текущего года

  • Apple выпустила исправление безопасности, устраняющее 50 уязвимостей в Apple Mac OS X.
  • Компания Oracle опубликовала патчи для Solaris 10, устраняющие ноябрьские уязвимости в Adobe Flash Player и уязвимость годичной давности в Pidgin, а также устранила 14 уязвимостей в Java.
  • Компания Microsoft, за отчетный период выпустила 9 бюллетеней безопасности, устранив 21 уязвимость.
  • Специалисты компании Adobe представили 3 уведомления безопасности, закрыв в общей сложности 17 уязвимостей в трех приложениях:
    • Flash Player;
    • Shockwave Player;
    • RoboHelp.


В феврале 2012 года стало известно сразу о двух уязвимостях нулевого дня - в Adobe Flash Player и модуле поисковой оптимизации vBSEO к vBulletin, а также о компрометации исходного кода продуктов Horde.


Распределение уязвимостей по векторам эксплуатации
В отчетном месяце было обнаружено:

  • Уязвимости, которые можно было эксплуатировать удаленно - 574 (84%);
  • Уязвимости по локальной сети - 42 (6%);
  • Уязвимостей — локально - 68 (10%).


Uyazvimosti po vektoru ekspluatacii

Диаграмма распределения уязвимостей по векторам эксплуатации


Наличие исправлений
На 1 марта 2012 года:

  • Производители устранили 511 уязвимостей, описанных в 197 уведомлениях;
  • Предложено временных решений для производителей - для 18 уязвимостей (16 уведомлений);
  • Не было устранено - 155 уязвимостей, описанных в 115 бюллетенях, что составляет 35% от общего числа выпущенных уведомлений.


Nalichie ispravlenii

Сводная статистика по наличию исправлений безопасности

Не было устранено в течении месяца с момента выхода информации об уязвимостях - 22,66% от числа всех уязвимостей.


Распределение уязвимостей по рейтингу опасности
В феврале Лаборатория Касперского выпустила 3 уведомления безопасности, затрагивающие продукты Horde с критическим рейтингом опасности. Критический рейтинг был присвоен этим уведомлениям в связи с внедрением бэкдора в их исходный код. Таким образом, в феврале было описано:

  • уязвимости критической степени опасности - 3;
  • уязвимостей высокой опасности - 156;
  • уязвимостей средней опасности - 177;
  • уязвимостей низкой степени опасности - 348.


Uyazvimosti po reitingu opasnosti

Диаграмма распределения уязвимостей по рейтингу опасности


Для определения уровня опасности уязвимостей Лабораторией Касперского используется CVSSv2 рейтинг со следующими критериями:

  • Уязвимость критической степени опасности — CVSSv2 рейтинг >= 8.7.


К критическим уязвимостям относятся уязвимости нулевого дня (0-day), позволяющие удаленно выполнить произвольный код на целевой системе. Под уязвимостями нулевого дня подразумеваются бреши, использующиеся злоумышленниками в реальных атаках до выхода какой-либо информации об уязвимости. Также критический рейтинг может быть присвоен уязвимости вследствие определенных обстоятельств, которые могут повлиять на безопасность использования приложения (например, внедрение бэкдора в исходный код приложения).

  • Уязвимость высокой степени опасности — CVSSv2 рейтинг >=7.4
  • Уязвимость средней степени опасности — CVSSv2 рейтинг >= 4.7
  • Уязвимость низкой степени опасности — CVSSv2 рейтинг < 4.7


Распределение уязвимостей по типам воздействия

Uyazvimosti po tipu vozdeistviya

Распределение уведомлений по типам воздействия

Позволяли удаленному пользователю:

  • Произвести XSS нападение - 27,65% описанных уведомлений;
  • Выполнить произвольный код на системе - 21,66%;
  • Получить доступ к важным данным - 13,13%.


Распределение уязвимостей по типам ПО
Обнаружено число уязвимостей:

  • в веб-приложениях — 35,38% (242);
  • клиентское ПО — 25,15% (172);
  • серверное ПО — 28;51% (195);
  • компоненты операционных систем — 10,96% (75).

Uyazvimosti po tipu PO

Диаграмма распределения уязвимостей по типам ПО


Уязвимости в клиентских приложениях
В феврале 2012 года больше всего уязвимостей было обнаружено:

  • в браузерах - 63;
  • средства разработки - 24;
  • мультимедийные приложения - 21;
  • почтовые приложения - 14;
  • ActiveX-компоненты - 12.


Наиболее оперативно выпускались исправления для браузеров и почтовых клиентов (100% результат). В ActiveX-компонентах и мультимедийные приложениях — 4 и 3 уязвимости соответственно за отчетный период остаются незакрытыми.

Tabl 1 Uyazvimosti v klientskom PO

Уязвимости в клиентском ПО

Сравнительная таблица уязвимостей в самых популярных браузерах выглядит следующим образом:

Tabl 2 Raspredelenie uyazvimostey po versiyam brauzerov

Распределение уязвимостей по версиям браузеров

Больше всего уязвимостей было обнаружено в Google Chrome. Однако, на основании этих данных нельзя делать выводы об уровне безопасности того или иного браузера, влиять на который могут сразу несколько параметров:

  • скорость выпуска исправлений;
  • политика в отношении публикации самостоятельно найденных уязвимостей;
  • популярность браузера;
  • динамика выхода новых версий и т.д.


Среди мультимедийных приложений по количеству уязвимостей лидировали Adobe Shockwave Player и RealPlayer.


Уязвимости в серверных приложениях

Uyazvimosti v servernih prilojeniyah

Среди серверных приложений больше всего уязвимостей было обнаружено в:

  • ПО для виртуализации;
  • аппаратные устройства;
  • серверы приложений.


SCADA-системы приобретают все большую популярность среди специалистов по информационной безопасности. Однако, разработчики данного ПО не уделяют должного внимания защищённости этих продуктов. Например, 7 из 10 уязвимостей в SCADA-системах не были устранены по состоянию на 1 марта 2012 года.