Датская ИБ-компания Secunia опубликовала отчет о наиболее уязвимых продуктах по итогам мая — июля. С выходом релиза, устранившего очередные огрехи Avant, этот браузер возглавил Тор-20, исправно пополняемый исследователями. Лидером по количеству уязвимых продуктов на сей раз оказалась IBM. Secunia также отметила, что общее число уязвимостей, выявленных за полгода в 1993 программных продуктах, сравнимо с результатами такого же периода в прошлом году (9225 против 9560), однако при этом доля брешей, получивших оценку extremely critical («критические в высшей степени»), увеличилась с 0,3 до 0,5%, highly critical («весьма критичные») — с 11,1 до 12,7%.

Secunia представляет помесячные списки Тор-20, составляемые по результатам проверки 50 тыс. программных продуктов, уже четвертый раз и неизменно сопровождает их комментариями по некоторым позициям. Так, июльское лидерство Avant по числу уязвимостей эксперты объясняют двумя причинами. Во-первых, этот браузер комбинирует механизмы визуализации Google Chrome и Firefox, и все уязвимости этих браузеров проявляются и в Avant. Во-вторых, Avant обновляется нерегулярно, лишь несколько раз в году, и бреши в нем всплывают лишь во время выпуска новых версий (новейшая вышла в июле). Получает ли этот браузер патчи, выпускаемые для Chrome и Firefox, неизвестно, так как информация о латании брешей в Avant вообще скудна, поэтому Secunia предполагает самый худший сценарий.

В минувшем июле были также обнаружены очень опасные уязвимости в Stagefright, нативном медиаплеере Android. Их эксплойт весьма прост и не требует вмешательства пользователя: атакующему достаточно послать потенциальной жертве вредоносное MMS-сообщение. В итоге он получает удаленный доступ к Android-устройству и возможность просматривать или воровать данные. В своем отчете эксперты Secunia отметили, что Google очень быстро выпустила патчи для уязвимых версий ОС, однако из-за открытого характера экосистемы Android они будут долго доходить до конечного пользователя, если вообще дойдут.

В целом за три месяца Secunia зафиксировала в рамках ведущей двадцатки 2211 брешей, из них 206 — в Avant, 140 — в модуле системного управления IBM Flex System Manager (FSM), 91 — в Mac OS X. Примечательно, что в Тор-20 уязвимых продуктов вошли также такие операционные системы, как Oracle Solaris, IBM i5/OS и F5 TMOS. Исследователи отмечают, что состав их ежемесячных списков все время меняется, поэтому пользователям не стоит почивать на лаврах, устанавливая патчи лишь для продуктов известных вендоров.

Полный текст очередного отчета Secunia доступен на сайте компании (требуется регистрация). Июльский список Тор-20 приведен в соответствующей новости на Softpedia.com.

Категории: Аналитика, Уязвимости