Хакер #305. Многошаговые SQL-инъекции
Подразделение IBM Internet Security Systems предупреждает о "колоссальной разнице" между количеством опубликованных уязвимостей и их реальным количеством.
Гюнтер Оллманн, один из директоров Internet Security Systems, пишет в своем блоге, что в прошлом году исследователи ISS проанализировали чуть более 7000 уязвимостей, в то время как реальное количество ошибок может достигать 140 тысяч. Такую цифру легко получить если подсчитать среднее количество публично раскрытых вендорами ошибок и ошибок, исправленных втайне, без уведомления широкой общественности. Оллманн добавил, что zero-day-уязвимости покупаются организациями у исследователей на условиях дальнейшего неразглашения информации, и затем на их основании для клиентов выпускаются патчи. Другие организации и хакеры в то же время используют эти уязвимости для создания вредоносных
программ. Он пишет, что количество уязвимостей колоссально возрастает, если учесть те, что найдены на контрактной основе (например, в ходе тестов на проникновение) или не раскрытые исследователями, а также не опубликованные на английском языке.