-Поиск по дневнику

Поиск сообщений в cZerro

 -Статистика

Статистика LiveInternet.ru: показано количество хитов и посетителей
Создан: 30.04.2004
Записей:
Комментариев:
Написано: 2345

Показательны ли ошибки?

Дневник

Воскресенье, 10 Марта 2013 г. 23:17 + в цитатник
Существование баз данных уязвимостей, таких как CVS или NVD, провоцирует исследователей сравнивать количество обнаруженных дыр в разных продуктах, их качество и другие параметры, делая какие-то выводы о защищенности того или иного продукта. Однако, читая такие исследования и анализируя их результаты, каждый раз задаёшься вопросом: а если в продукте обнаружено много ошибок и все они устранены, то этот продукт более защищен или наоборот? Ведь если предположить, что качество программирования примерно одинаковое, и разработчики допустили примерно одинаковое число ошибок, то чем больше их найдено и устранено, тем меньше их осталось.

Большое число найденных ошибок также не может говорить и о качестве программирования. Дело в том, что большинство продуктов невозможно полностью проанализировать - у общественности нет доступа к их исходным кодам. Поэтому обнаруживаются ошибки, которые приводят к падению приложения или операционной системы, а это далеко не все возможные ошибки. Собственно, именно поэтому в проектах с открытыми кодами обнаруживается больше ошибок, но их уровень достаточно низкий. В то же время, в закрытых продуктах обнаруживаются в основном критические ошибки - их меньше, но они более заметны, поскольку приводят к падению приложения.

Собственно, такие же выводы сделала из анализа базы уязвимостей компания Sourcefire (частичный русский перевод), которая поддерживает разработку проектов с открытыми кодами систему обнаружения атак Snort и антивирус ClamAV. Правда, она анализировала данные об уязвимостях за 25 лет - с 1988 года, но выводы укладываются в приведённую выше логику. Кроме того, закрытые продукты разделяются по версиям, а OpenSource - почему-то оценивается целиком. В частности, все базы данных по уязвимостям отдельно учитывают версии Windows, хотя все уязвимости Linux всех версий сваливают в одну кучу. К тому же комплект поставки операционных систем также разный - в дистрибутивах Linux есть много дополнительных программ, таких как базы данных, офисные пакеты, игры и многое другое. Однако, если взять только ядро Linux, то оно имеет значительно меньшую функциональность, чем Windows. В частности, графическая оболочка в ядро Linux не входит, а из Windows её вырезать практически невозможно. В результате, прямое сравнение результатов по обнаруженным ошибкам говорит очень мало.

Более показательна скорость, с которой ошибки исправляются. И здесь хорошим примером является прошедший недавно конкурс Pwd2Own, на котором были взломаны три браузера Firefox, Chrome  и Internet Explorer, а также модули расширения от компаний Adobe и Oracle (Java). Во всех были обнаружены ошибки, позволившие взломать продукты, однако только Mozilla (производитель Firefox) и Google (производитель Chrome) исправили ошибки в течении первых суток, Microsoft, в соответствии со свои правилами, обновит свой браузер 12 марта (в течении недели), а о планах обновления модулей других компаний пока ни чего не известно. Причём в приведённых выше базах данных по уязвимостям частично есть данные по времени исправления, однако эти данные почему-то ни кто не анализирует.

Рубрики:  Безопасность
Блог

Метки:  

ПОСЛЕДНИЕ ДЫРЫ: OpenOffice, Opera и Microsoft

Дневник

Среда, 02 Сентября 2009 г. 08:12 + в цитатник
Разработчики OpenOffice.org выпустили набор исправлений для своего продукта, в котором исправлены две ошибки. Они позволяют сторонним злоумышленникам исполнить свой код в информационной системе жертвы при помощи специально подготовленного документа Microsoft Word. При обработке некоторых записей этих документов может возникнуть переполнение динамической памяти с возможностью перехвата потока исполнения. Производитель выпустил обновления и их рекомендуется установить.
Оригинал: http://secunia.com/advisories/35036/

В браузере Opera обнаружено несколько ошибок, которые позволяют обмануть пользователя, убеждая его в правильности сайта. В частности, в Opera есть две ошибки в процедуре обработки сертификатов, которые позволяют сделать посторонние сертификаты якобы проверенными. Еще одна ошибка может возникнуть при обработке доменов в UniCode при использовании International Domain Names (IDN). Кроме того, можно заставить браузер схлопнуть адресную строку и показать предыдущий адрес. Все эти ошибки позволяют обмануть пользователей и провести фишинговую атаку. Исправлений от производителя пока не последовало.
Оригинал: http://secunia.com/advisories/36414/

Обнаружена ошибка в сервере Microsoft Internet Information Services (IIS), которая позволяет добиться переполнения буфера с помощью некорректных NLST-команд при работе с протоколом FTP. Хотя ошибка позволяет в том числе и исполнять вредоносные коды, однако для этого требуется, чтобы вредоносные команды исполнял зарегистрированный пользователь. Исправления для этой ошибки пока не выпущено.
Оригинал: http://secunia.com/advisories/36443/

Метки:  

 Страницы: [1]