Свежий отчет компании Websense наглядно демонстрирует, почему эксплойты к закрытым уязвимостям Java остаются настолько эффективными.

Закрытие уязвимостей в Java — это формальность. На практике только крохотная часть пользователей своевременно обновляет программное обеспечение.

Данные телеметрии Websense ThreatSeeker Network показали количество установок среди корпоративных пользователей последнего критического патча Java SE Version 7 Update 21, который вышел 16 апреля.

  • Через два дня после выпуска патч установили менее 2% пользователей.
  • Через неделю после выхода патча количество установок не превысило 3%.
  • Через две недели патч установили чуть более 5% пользователей.
  • Через месяц после выпуска Java SE Version 7 Update 21 обновление произвели 7,2% пользователей.

Таким образом, через месяц после выхода Java SE Version 7 Update 21, закрывающего 42 (!) уязвимости, 92,8% аудитории остаётся незащищенными перед активными эксплойтами.

39 из 42 уязвимостей могут эксплуатироваться в удаленном режиме. Один из эксплойтов для CVE-2013-2423 включен даже в популярный набор для пентестинга Metasploit.

Следующий апдейт безопасности Java SE запланирован к выходу на 18 июня 2013 года.



Оставить мнение