Американский институт компьютерной
безопасности SANS обновил
список наиболее опасных дыр в
распространенных программных продуктах.

Составлением хит-парадов уязвимостей в ПО
специалисты SANS занимаются на протяжении
уже четырех лет. Ежегодно эксперты выявляют
порядка двух с половиной тысяч брешей,
однако большая часть компьютерных атак
затрагивают ограниченное количество
наиболее опасных ошибок. И именно
идентификацией этих дыр, требующих
немедленного устранения, занимаются
эксперты SANS.

Как сообщается, за первые три месяца 2005
года были обнаружены свыше 600 дыр. В список
Тор 20 заносятся уязвимости,
удовлетворяющие нескольким основным
условиям. Во-первых, такие ошибки должны
затрагивать большое количество
пользователей. Во-вторых, дыры должны
обеспечивать возможность получения
несанкционированного доступа к удаленной
машине и выполнения на ней произвольного
вредоносного кода. В-третьих, число
непропатченных компьютеров должно быть
достаточно велико. Наконец, в-четвертых,
информация об уязвимостях и способах их
эксплуатации должна быть доступна
злоумышленникам.

Наиболее опасные дыры, выявленные в
первом квартале текущего года, затрагивают
браузер Microsoft Internet Explorer, приложения Microsoft
Windows Media Player, Windows Messenger и MSN Messenger, а также
операционные системы Windows различных версий
(в том числе, Windows ХР со вторым сервис-паком).
В список SANS, в частности, попали ошибка
обработки продуктами софтверного гиганта
графических файлов в формате PNG, уязвимость,
связанная с неправильной обработкой SMB-пакетов
(Server Message Block) и пр.

Вслед за программами Microsoft идут
антивирусы Symantec, F-Secure, TrendMicro и McAfee, которые
некорректно обрабатывают файлы
определенных типов, что может приводить к
возникновению ошибок переполнения буфера и
последующему выполнению на компьютере
произвольных вредоносных операций. Кроме
того, в список SANS попали дыры в медиаплеерах
RealPlayer, iTunes, WinAmp и уязвимости в пакетах Oracle
Database Server, Oracle Application Server, Oracle E-business Suite и Oracle
Collaboration Suite.

Полностью обновленный хит-парад
уязвимостей в ПО, составленный
сотрудниками Американского института
компьютерной безопасности, доступен здесь.

Оставить мнение