В 2017 году аналитики зарегистрировали 19 954 уязвимости, обнаруженные в 1865 приложениях от 259 вендоров.
В 2017 году аналитики из подразделения Secunia Research компании Flexera Software зарегистрировали 19 954 уязвимости, которые объявились в 1865 приложениях от 259 разных вендоров. Для сравнения: в 2016 году в базу данных Secunia было занесено 17 147 новых брешей.
При этом 17% уязвимостей исследователи оценили как очень опасные (Highly Critical) — им было присвоено по 4 балла из пяти возможных по собственной шкале Secunia; 0,3% получили оценку «чрезвычайно опасные» (Extremely Critical, 5 баллов).
Согласно Secunia, уязвимости этих двух категорий обычно допускают удаленный эксплойт, который не требует взаимодействия с пользователем и может повлечь компрометацию целевой системы. Различаются они лишь наличием или отсутствием данных об использовании в реальных атаках на момент раскрытия информации (выхода патча). Подобные уязвимости, по словам экспертов, могут присутствовать в службах вроде FTP, HTTP и SMTP или клиентских программах (email-приложениях, браузерах).
Уязвимостей нулевого дня за отчетный период набралось лишь 14 — против 23 в предыдущем году.
Больше половины зафиксированных брешей (55%) можно использовать удаленно, 32% — из локальной сети, остальные требуют доступа к системе на уровне локального пользователя.
Примечательно, что для 86% уязвимостей патч был выпущен в параллель с публикацией — в тот же самый день. Однако эксперты с сожалением отметили, что некоторые вендоры отдают предпочтение солидным релизам, не желая каждый раз вносить мелкие исправления, и в итоге установка патчей усложняется, если это делать вручную.
«Публикация для того и нужна, чтобы устранить большинство уязвимостей, прежде чем риск эксплуатации возрастет, — комментирует Каспер Линдгард (Kasper Lindgaard), директор по исследованиям и вопросам кибербезопасности в Flexera. — Однако этот процесс не должен быть ситуационным. Если патчинг производить бессистемно, можно что-то упустить, и уязвимости будут долго оставаться открытыми. В итоге у злоумышленников появится прекрасная возможность для проведения атак».
Статистика, каждый год публикуемая Secunia, составляется на основе анализа данных мониторинга более 55 тыс. программных продуктов. С полнотекстовой версией нового годового отчета можно ознакомиться на сайте Flexera (требуется регистрация).