Весеннее обновление уязвимостей ПО от SANS

2/05/2006 12:26

Американский институт компьютерной безопасности SANS обновил список двадцати наиболее актуальных в нынешнем году проблем с компьютерной безопасностью систем, работающих под управлением Windows и Unix. Обновление связано с тенденциями, которые обнаружились за последнее время в мире компьютерной безопасности. Как подчёркивают специалисты SANS, обновление связано со следующими причинами: увеличение в последнее время уязвимостей ранее славившейся своей безопаасностью Mac OS/X (особенно в связи с повившимися в последнее время эксплоитами, иcпользующими в терминах SANS "zero-day" уязвимости); уменьшение общего числа уязвимостей в сервисах ОС семейтва Windows (исключая последний конфуз Microsoft с WMF-уязвимостью в IE); вместе с тем продолжающее увеличиваться количество критических уязвимостей в самом Internet Explorer; постепенное увеличение обнаруживаемых уязвимостей в браузерах Firefox и Mozilla; увеличение количества атак, проводимых с целью получение денег; резкое увеличение уязвимостей в ПО, обеспечивающем резервное копирование, СУБД (в том числе шум, поднятый в последнее время после обнаружения множества критических уязвимостей после выхода обновлений популярной СУБД Oracle); увеличение количества эксплоитов, связанных с уязвимостями в ПО обработки различных типов файлов (медиа-файлы, файлы изображений, файлы электронных таблиц); увеличение количества успешных атак фишингового типа, проводимых на сайты оборонных и ядерных ведомств. Помимо общих тенденций приводится также конкретный перечень уязвимостей, обнаруженных в обозначенном выше круге ПО. Список уязвимостей Тор-20 разделен на две группы, соответствующих платформам Windows и Unix. Каждая позиция в группе представляет собой определенную категорию программного обеспечения, например, веб-браузеры или почтовые клиенты. Все категории разбиты на подпункты, описывающие конкретные проблемы в тех или иных программных продуктах. Таким образом, фактически список SANS состоит не из двадцати, а из нескольких сотен брешей, затрагивающих самые разнообразные компоненты распространенного ПО.
Детальный отчёт SANS