11:35 16.10.2009 Microsoft: Пусть краснеют другие | |
13 октября Microsoft выпустила 13 обновлений безопасности для своих
продуктов – рекордное количество в масштабах одного месяца. Обновления
закрывают 34 уязвимости во всех версиях Windows (включая новую Windows 7, еще
официально не поступившую в продажу), а также в Internet Explorer (IE), Office,
SQL Server и других продуктах корпорации. Видимо пытаясь оправдаться, Microsoft стремится поломать
стереотип «дырявости» своих продуктов, приводя в пример общедоступную статистику по числу
уязвимостей в продуктах конкурентов. 8 из 13 обновлений, закрывающих 21 «дыру», Microsoft определила как
«критические». Остальные 5 бюллетеней имеют статус «важных», как и 9
описываемых в них уязвимостей. Оставшиеся 4 «дыры» представляют «умеренный»
уровень опасности. Для нескольких уязвимостей на момент выпуска «заплаток» уже
были написаны эксплойты. Выпущенные Microsoft патчи закрывают три уязвимости в поставляемом вместе с Windows
SMB 2 (Server Message Block), сетевом протоколе распределенной файловой
системы, разработанном корпорацией и поддерживаемом многими другими
ИТ-вендорами. Еще две «дыры» связаны с реализацией протокола FTP в более ранних
версиях веб-сервера IIS (Internet Information Services); две в кодеке Windows Media
Runtime. Об уязвимостях в SMB 2 и IIS было известно с начала сентября. О «дыре»
в SMB 2 Microsoft публично заявила в начале октября. Несмотря на появление
эксплойта, использующего эту уязвимость, случаев атак с его помощью пока не
зафиксировано. Уязвимость присутствует в Windows Vista, Windows Server 2008 и
предварительных версиях Windows 7, но не в ее финальной версии, которая
официально поступит в продажу 22 октября. О «дыре» в FTP, в свою очередь, было
заявлено еще 1 сентября. Эксплойт к ней появился в последние дни августа. За 10 месяцев 2009 г.
Microsoft обнаружила около 160 уязвимостей в своих продуктах, в то время как за
весь 2008 г.
– свыше 155. В совокупности это вдвое больше, чем за 2004 и 2005 гг., первые
полные два года ежемесячных обновлений безопасности. Всего же за последние 6
лет Microsoft, если судить по архиву
бюллетеней, выпустила около 400 обновлений безопасности, где описаны
около 745 уязвимостей, затрагивающих почти все продукты корпорации. Около 230
бюллетеней – свыше половины – касаются критических уязвимостей, позволяющих
удаленно устанавливать полный контроль над системой.
Владимир Мамыкин, директор по информационной безопасности Microsoft в России, отмечает, что всего 160 брешей на все продукты в 2009 г. – это «крохи по сравнению с горами уязвимостей у конкурентов, заслуга Microsoft, результат хорошей работы по улучшению безопасности». «Неискушенный читатель подумает – много, - продолжает Мамыкин. - А знает ли он, сколько уязвимостей, например, у Mac OS X? Целых 1038! И за 2009 г. (если точно, то с 18.12.2008 г. по 15.10.2009 г.) их число увеличилось на целых 226. И это только в одном продукте. А что же в Microsoft Vista? В ней за всю историю было найдено 140 уязвимостей, из них за 2009 г. – 60». При этом, по словам Владимира Мамыкина, Red Hat Enterprise Linux Desktop v5 имеет на сегодня 970 уязвимостей, в 2009 г. он увеличил их число на 367 и почти догнал в лидерстве за самый «дырявый» продукт Mac OS X. Что же касается Ubuntu, то в версии 8.4, выпущенной в апреле 2008 г., на сегодня обнаружено 616 «дыр» , а за 2009 г. – 403. «Может, с серверами у Microsoft плохо? – спрашивает Мамыкин. - Посмотрим – у Windows Server 2008 на сегодня было найдено 109 уязвимостей, за 2009 г. их число возросло на 67. А у известной Sun Solaris 10 на сегодня 817 «дыр», в 2009 г. их стало больше на 231. Про Red Hat Linux Server v5 говорить не буду – он еще хуже Solaris 10, сами посмотрите на secunia.com – я все данные беру именно оттуда». Владимир Мамыкин привел статистику и по «дырам» в базах данных. Так, у Microsoft SQL Server 2005 на сегодня 18 уязвимостей, их число выросло за 2009 г. на 8 штук. При этом у Oracle Database 11.x их общее число в 12 раз больше – 223 бреши, и в 2009 г. их добавилось 107. «7 лет назад мне, как директору по информационной безопасности Microsoft, приходилось краснеть за число обнаруженных у нас тогда уязвимостей, - резюмирует он. - Теперь краснеют наши конкуренты. Времена изменились». То, что времена меняются, - в разных аспектах - подтверждают и другие вендоры. В частности, за последние годы возросла скорость написания эксплойтов, использующих «дыры» в продуктах. Так, по данным исследования Qualys, выпущенного весной этого года, 80% всех эксплойтов появлялись не позже чем через 10 дней после обнаружения уязвимости. При этом, к примеру, в апреле 2009 г. примерно для 50% всех закрытых Microsoft «дыр» на момент выпуска обновления уже существовали эксплойты. «В последние 2-3 года время написания эксплойтов сократилось, а количество кибератак растет практически в геометрической прогрессии, - подтверждает Максим Коробцев, технический директор Agnitum. - Поэтому ориентированность на устранение критических «дыр» и смена акцентов в продуктовой политике Microsoft, явно прослеживающиеся в последние годы, говорят о стремлении компании давать быстрый ответ на результаты «публичных тестирований» их продуктов». По словам Коробцева, в острой конкурентной борьбе Windows- и Unix-платформ безопасность системы становится одним из решающих аргументов «за». «Архитектура решений Microsoft по-прежнему по умолчанию проигрывает в безопасности Unix-based решениям, так что основная задача Microsoft в данном контексте - сбалансировать скорость устранения имеющихся недостатков в зависимости от их критичности», - полагает он.
«Время между нахождением «дыры», появлением эксплойта и выпуском
заплатки у Microsoft, в среднем, сократилось, особенно после пары нашумевших
эпидемий червяков, - отмечает Илья
Рабинович, исполнительный директор SoftSphere. – То же самое могу сказать
про Adobe и Oracle». В то же время, не стоит связывать увеличение числа
уязвимостей с ростом киберпреступности, полагает он. «Чем продукт популярнее,
тем больше заинтересованные люди ищут в нём «дыр». Вопрос в том, что
квалифицированных людей, которые могут делать эту работу, очень немного, и рост
киберпреступности, фактически, никак на эту цифру не влияет», - говорит
Рабинович. | |
|
Всего комментариев: 0 | |