Компания Secunia, специалист по управлению уязвимостями (ныне в составе Flexera Software), опубликовала очередной статистический отчет об уязвимостях, обнаруженных на пользовательских ПК. Новое исследование показало, что каждое 20-е приложение на американских компьютерах уже не поддерживается вендором, а 12% активных Windows-систем не пропатчены. Сводный рейтинг Secunia по количеству незакрытых брешей в продуктах впервые возглавила Apple, обогнав прежнего бессменного лидера — Oracle.

Согласно статистике Secunia, жители США в среднем используют 76 приложений от 27 разных производителей; из них 5,5% уже сняты с довольствия и не получают обновлений. В частности, на 80% персональных компьютеров был обнаружен Adobe Flash Player 18, срок поддержки которого истек 22 сентября 2015 года.

Наиболее дырявыми оказались Apple QuickTime 7.x и Apple iTunes 12.x. Доля рынка QuickTime на настоящий момент составляет 55%, на его счету 18 опубликованных брешей; новейшие обновления для этого продукта отсутствуют у 61% американских пользователей. На долю iTunes приходится 40% рынка и 106 раскрытых уязвимостей; новейшие патчи не установлены у 47% юзеров.

В список Top-10 уязвимых продуктов, представленный в отчете Secunia, также вошли Adobe Reader, Oracle Java 8 и Mozilla Firefox.

Эксперты отмечают, что начиная с третьего квартала 2014 года пропорция неподдерживаемых приложений, работающих у пользователей США, колеблется в пределах 4–5%, тогда как в 2013 году этот показатель составлял 3–4%.

«Хакерам на руку, что пользователи не деинсталлируют снятые с поддержки приложения, так как эксплойты, написанные для старых версий, продолжают работать и по-прежнему пользуются спросом на черном рынке, — комментирует Каспер Линдгард (Kasper Lindgaard), возглавляющий Secunia после слияния с Flexera. — Очень многие пользователи устанавливают приложение и забывают о нем. Рядового пользователя не сильно волнует актуальность его софта. Он просто ставит приложения по мере нужды, и они так и остаются в системе. Их забывают деинсталлировать и не обновляют».

Oracle Java удерживала лидерство в рейтинге Secunia с третьего квартала 2014 года по второй квартал 2015 года. При составлении этого списка эксперты учитывают долю рынка (пользовательскую базу) и количество не закрытых пользователем уязвимостей, для которых уже выпущен патч. В настоящее время Oracle Java занимает в этом рейтинге четвертую строчку во многом благодаря окончанию поддержки версии 7 (апрель 2015 года) и миграции пользователей на «восьмерку». На долю последней ныне приходится 40% рынка, и этого недостаточно, чтобы возвести Oracle Java на вершину непочетного списка.

Напомним, статистика Secunia основана на показаниях ее сканера уязвимостей Personal Software Inspector, распространяемого на безвозмездной основе в 14 странах мира. На его счету уже более 8 млн загрузок. Новый отчет использует данные за период с 1 октября 2014 года по 30 сентября 2015 года.

Категории: Аналитика, Главное, Уязвимости