2018 год обещает побить рекорд по обнаруженным уязвимостям

Новости информационной безопасности




2018 год обещает побить рекорд по обнаруженным уязвимостям

Этичные хакеры из Zero Day Initiative (ZDI) рассказали о результатах своей работы за первые шесть месяцев 2018 года. Вслед за рекордным 2017-м представители ZDI назвали 2018-й самым загруженным в истории организации — объем публикаций за сопоставимые периоды увеличился на треть.

На сегодняшний день сообщество ZDI объединяет более 3,5 тыс. специалистов по безопасности с шести континентов, которые заработали за полгода более $1 млн. С января по июнь эксперты сообщества выпустили описание 600 брешей, из которых 23 относятся к уязвимостям нулевого дня.

“Интересно отметить, что количество 0-day упало более чем на 40%, — комментируют эксперты ZDI. — Совместно с представителями компаний-разработчиков мы успешно отработали 577 отчетов [о проблемах ПО], чтобы вместе с описанием уязвимости опубликовать соответствующий патч или информацию о других способах защиты”.

Специалисты выделили рост брешей в ПО для промышленной автоматизации от таких производителей, как Schneider Electric, Advantech, Omron и Delta Industrial. В общем объеме они составили более 30% случаев. При этом авторы подчеркнули, что с развитием Интернета вещей эти продукты находят применение и вне индустриальной отрасли.

По сравнению с прошлым годом исследователи нашли больше уязвимостей в продуктах Microsoft. Самыми опасными оказались интернет-браузеры Internet Explorer и Edge со встроенным JavaScript-движком Chakra Core.

Количество заявленных брешей в продуктах Apple, в свою очередь, упало почти на 30%, однако и в этом случае эксперты ссылаются на сторонние факторы. Многие уязвимости становятся известными на состязаниях этичных хакеров Pwn2Own.

“Если не учитывать баги, обнаруженные на Pwn2Own-2017 и Pwn2Own-2018, то мы увидим, что [количество брешей в ПО Apple] год к году выросло на 36%, — указали представители ZDI. — Исправления ждут еще 30 известных уязвимостей”. В прошлом году на мероприятие зарегистрировалось рекордное число участников, что обусловило и значительный поток заявленных дыр.

Авторы также выделили виртуальную машину Oracle VirtualBox — за шесть месяцев 2018 года исследователи нашли в ней почти в четыре раза больше багов, чем за аналогичный период 2017-го. Представители ZDI подчеркнули, что, наряду с продуктами VMware, ПО для виртуализации продолжает оставаться источником серьезных угроз.

Пытаясь предсказать дальнейшую динамику, ZDI ожидает все больший поток уязвимостей. К концу декабря эта цифра может достичь отметки в 1200–1300 отчетов, что на 20–30% превышает результаты 2017 года и почти в два раза — показатели 2016-го.

Дата: 2018-07-11 17:24:26

Источник: https://threatpost.ru/record-amount-of-vulnerabilities-will-be-found-in-2018/27146/

аналитика,уязвимости,apple,iot,microsoft,schneider electric,zero day initiative,статистика