Свежий отчет компании Websense наглядно демонстрирует, почему эксплойты к закрытым уязвимостям Java остаются настолько эффективными.
Закрытие уязвимостей в Java — это формальность. На практике только крохотная часть пользователей своевременно обновляет программное обеспечение.
Данные телеметрии Websense ThreatSeeker Network показали количество установок среди корпоративных пользователей последнего критического патча Java SE Version 7 Update 21, который вышел 16 апреля.
- Через два дня после выпуска патч установили менее 2% пользователей.
- Через неделю после выхода патча количество установок не превысило 3%.
- Через две недели патч установили чуть более 5% пользователей.
- Через месяц после выпуска Java SE Version 7 Update 21 обновление произвели 7,2% пользователей.
Таким образом, через месяц после выхода Java SE Version 7 Update 21, закрывающего 42 (!) уязвимости, 92,8% аудитории остаётся незащищенными перед активными эксплойтами.
39 из 42 уязвимостей могут эксплуатироваться в удаленном режиме. Один из эксплойтов для CVE-2013-2423 включен даже в популярный набор для пентестинга Metasploit.
Следующий апдейт безопасности Java SE запланирован к выходу на 18 июня 2013 года.
